ZIP arhive desetljećima su jedan od najčešćih načina distribucije datoteka na internetu. Nažalost, upravo zbog svoje popularnosti često služe i kao praktičan alat za širenje malwarea. Sigurnosni istraživači sada upozoravaju na novu tehniku nazvanu Zombie ZIP, koja potencijalno može proći neopaženo kroz velik broj antivirusnih sustava.
Radi se o metodi skrivanja zlonamjernog koda unutar namjerno “pokvarene” ZIP arhive. Prema autorima istraživanja, takve datoteke trenutačno prolaze nezapaženo kod većine antivirusnih rješenja, što napadačima može otvoriti novi kanal za dostavu malwarea.
Ipak, dio stručnjaka smatra da ovdje nije riječ o pravoj ranjivosti, već o nuspojavi načina na koji je ZIP format originalno dizajniran prije više od tri desetljeća.
Kako “pokvarena” ZIP arhiva može sakriti malware?
Tehnika Zombie ZIP oslanja se na manipulaciju zaglavljem ZIP datoteke. U tom dijelu arhive nalaze se metapodaci koji softveru za raspakiravanje govore kako interpretirati sadržaj – primjerice koja je metoda kompresije korištena, koje su verzije potrebne za raspakiravanje i slične tehničke informacije.
Kod Zombie ZIP arhive upravo se taj dio namjerno oštećuje. Polje koje definira metodu kompresije postaje nevažeće, pa alati poput 7-Zip-a ili WinRAR-a ne mogu prepoznati kako je datoteka zapravo komprimirana.
Antivirusni programi u takvom slučaju često zaključuju da se radi o beskorisnom ili oštećenom komprimiranom sadržaju. No stvarnost je drugačija – datoteka je i dalje uredno komprimirana pomoću Deflate algoritma, klasične metode bez gubitaka koju je još 1990. razvio Phil Katz, autor PKZIP-a.
Drugim riječima, arhiva izgleda pokvareno, ali zapravo i dalje skriva potpuno funkcionalan payload.
Koliko je ova prijetnja zapravo ozbiljna?
Ranjivost je trenutno registrirana pod oznakom CVE-2026-0866. Autori tvrde da takve arhive mogu izbjeći detekciju u oko 98 posto antivirusnih rješenja testiranih putem VirusTotala, uključujući poznate proizvode poput Bitdefendera, Kasperskyja i Microsoft Defendera.
Ipak, postoji važna prepreka za napadače. Standardni alati za raspakiravanje ne mogu izvući skriveni sadržaj jer vjeruju informacijama iz oštećenog zaglavlja. Da bi malware bio aktiviran, napadač mora koristiti poseban alat koji ignorira te podatke i direktno raspakira sirovi komprimirani stream.
Zbog toga dio sigurnosnih analitičara tvrdi da se problem ne bi trebao tretirati kao klasična ranjivost. Ako standardni softver ne može interpretirati podatke, kažu oni, datoteka je praktički samo nečitljiv ili šifriran sadržaj – slično kao ZIP arhiva zaštićena lozinkom.
Istraživači iz CERT Coordination Centera na Carnegie Mellon svejedno upozoravaju da pojedini alati mogu prepoznati takve arhive i izvući skrivene podatke. Zbog toga preporučuju proizvođačima antivirusa da prilikom analize komprimiranih datoteka ne ovise isključivo o metapodacima iz zaglavlja.
Za krajnje korisnike savjet ostaje isti kao i posljednjih dvadesetak godina: ako ZIP datoteka dolazi iz neprovjerenog izvora, najbolje je prema njoj pristupiti s dozom opreza. Čak i kada izgleda kao da je pokvarena. U nekim slučajevima to možda nije greška – nego vrlo namjeran dizajn.
