Суть уязвимости (получившей индекс CVE-2026-0866) элегантна и пугающе проста. Она основана на манипуляции заголовками архива. Исследователь выяснил, что если создать ZIP-файл и вручную изменить в его заголовке метод сжатия на STORED (0), хотя на самом деле данные сжаты методом DEFLATE (8), защитное ПО впадает в ступор.
Когда антивирус видит флаг «STORED», он думает, что файлы внутри лежат в открытом виде (как в обычной папке). Он сканирует этот поток данных, видит «шум» сжатого контента и, не найдя знакомых сигнатур вирусов, со спокойной совестью помечает архив как безопасный.
Крис Азиз проверил свой «зомби-архив» на VirusTotal через 51 антивирусный движок. Результат ошеломил — 98% программ (50 из 51) пропустили вредоносный файл. Лишь один малоизвестный движок (Kingsoft) смог распознать угрозу.
Обычные архиваторы вроде WinRAR или 7-Zip при попытке открыть такой файл выдают ошибку CRC или «неподдерживаемый метод». Это создает иллюзию того, что файл просто «битый».
Опасность не в том, что ты случайно откроешь этот файл (стандартные средства его просто не поймут), а в том, как его используют хакеры. Злоумышленники присылают такой архив вместе с кастомным загрузчиком (маленькой программкой или скриптом). Этот загрузчик игнорирует ложный заголовок, принудительно распаковывает вирусный файл методом DEFLATE и запускает его в системе.
Источник: www.goha.ru