Нещодавно виявлена вразливість, названа “Зомбі-ZIP”, дозволяє шкідливому програмному забезпеченню (ПЗ) обходити більшість наявних антивірусних систем. Суть проблеми полягає в маніпуляціях з метаданими ZIP-архівів. Перша частина ZIP-файлу, його заголовок, містить інформацію про вміст та метод стиснення, на яку зазвичай покладаються антивіруси для попередньої обробки файлів перед скануванням.
“Зомбі-ZIP” використовує трюк: архів стверджує, що його дані не стиснуті, хоча насправді вони є стисненими. Через це більшість антивірусних програм не звертають уваги на таку невідповідність. Якщо метод стиснення змінено, антивірус може не розпакувати файл, і нестиснені дані виглядають як випадкові байти, які не відповідають відомим сигнатурам шкідливого ПЗ. Стандартні архіватори на кшталт 7-Zip або WinRAR також не можуть відкрити такий “пошкоджений” файл. Проте після обходу антивірусного захисту шкідливе ПЗ може бути вилучене за допомогою спеціального завантажувача, який ігнорує поле Method і безпосередньо розпаковує вбудовані дані. Це дозволяє приховати небезпечний вміст, зберігаючи можливість його програмного відновлення.
Через майже тиждень після виявлення цієї вразливості, 60 із 63 антивірусів (95%) не здатні її виявити. Дослідник, який знайшов “Зомбі-ZIP”, оприлюднив прототип на Python, який потребує всього кількох рядків коду для реалізації. Ця ситуація є тривожною для звичайних користувачів і може стати серйозною проблемою для великих корпорацій. Антивіруси переважно не перевіряють скрипти під час завантаження, щоб уникнути величезної кількості хибних спрацювань. Вразливістю “Зомбі-ZIP” вже займається CERT, присвоївши їй ідентифікатор CVE-2004-0935. Доки пакети безпеки не оновляться, системним адміністраторам необхідно бути особливо пильними щодо ZIP-файлів у мережах.
