Нещодавно виявлена вразливість, відома як “Зомбі-ZIP”, дозволяє шкідливому програмному забезпеченню обходити більшість антивірусних систем. Ця, на перший погляд, проста лазівка використовує особливості обробки ZIP-архівів, що робить її надзвичайно ефективною для прихованої доставки малварі.
Принцип дії “Зомбі-ZIP” полягає у маніпуляції заголовками ZIP-файлів. Стандартно, заголовок архіву містить інформацію про його вміст та метод стиснення, яку антивіруси використовують для попередньої обробки файлів перед скануванням. Зловмисник створює ZIP-архів, який заявляє, що його дані не стиснені, хоча насправді вони є компресованими. У такому випадку більшість антивірусних програм не звертають уваги на невідповідність, оскільки не можуть коректно розпакувати файл, сприймаючи його як пошкоджений або просто набір випадкових байтів, що не відповідають відомим сигнатурам шкідливого ПЗ. Для вилучення шкідливого вмісту після обходу захисту використовується спеціальний завантажувач, який ігнорує поле методу стиснення та безпосередньо розпаковує вбудовані дані.
Через майже тиждень після виявлення, 60 з 63 протестованих антивірусів (95%) не розпізнають цю вразливість, що дозволяє інтегрувати шкідливе ПЗ майже безперешкодно. Дослідник, який її виявив, вже оприлюднив прототип на Python, що потребує лише кількох рядків коду для реалізації. Це становить значну загрозу не лише для звичайних користувачів, а й для великих корпорацій із тисячами клієнтів та конфіденційними даними. Наразі Координаційний центр реагування на комп’ютерні надзвичайні ситуації (CERT) вже займається питанням “Зомбі-ZIP”, присвоївши вразливості ідентифікатор CVE-2004-0935 та опублікувавши відповідне сповіщення VU#976247. До моменту оновлення пакетів безпеки, системним адміністраторам необхідно виявляти особливу пильність щодо ZIP-файлів, що передаються в мережах.
