Нещодавно виявлена проста, але надзвичайно ефективна вразливість, названа “Зомбі-ZIP”, дозволяє шкідливому програмному забезпеченню (ПЗ) обходити захист переважної більшості антивірусних систем. За тиждень після її виявлення 60 із 63 протестованих антивірусів виявилися неспроможними її виявити, що свідчить про майже 95% ефективності обходу.
Суть вразливості полягає у маніпуляції із заголовком ZIP-архіву. Зазвичай, заголовок файлу інформує про його вміст та спосіб стиснення, що використовується антивірусами для попередньої обробки та сканування. Проте, “Зомбі-ZIP” архів містить некоректну інформацію: він стверджує, що дані не стиснені, хоча насправді вони є такими. Більшість антивірусів ігнорують цю розбіжність. У результаті, при спробі розпакування антивірусним ПЗ, файл не може бути коректно оброблений, а його “неспресовані” дані виглядають як випадкові байти, які не відповідають відомим сигнатурам шкідливого ПЗ. Для запуску малварі використовується спеціальний завантажувач, який ігнорує поле “Method” та безпосередньо розпаковує вбудовані дані.
Ця вразливість становить серйозну загрозу як для звичайних користувачів, так і для великих корпорацій, що оперують конфіденційними даними. Дослідник, який її виявив, опублікував прототип на Python, для реалізації якого потрібно лише кілька рядків коду. Наразі питанням “Зомбі-ZIP” вже займається CERT, присвоївши їй ідентифікатор CVE-2004-0935 та опублікувавши відповідне повідомлення VU#976247. До моменту оновлення безпекових пакетів, системним адміністраторам рекомендується бути особливо пильними щодо ZIP-файлів, що передаються у мережах.
