Archivo ZIP de Schrödinger: para el antivirus está vacío, pero para el hacker contiene un virus activo.
Analizamos el fenómeno "Zombie ZIP", capaz de burlar a los escáneres de software.
Investigadores han llamado la atención sobre una nueva técnica para camuflar código malicioso en archivos ZIP. El método se llama «Zombie ZIP» y permite ocultar la carga útil en archivos de manera que la mayoría de las herramientas de seguridad consideran su contenido como datos seguros.
La técnica fue desarrollada por el especialista en seguridad de la empresa Bombadil Systems, Chris Aziz. El método se basa en la manipulación de los encabezados del archivo ZIP. El atacante modifica el campo que indica el método de compresión, haciendo que los analizadores consideren que el archivo dentro del contenedor está almacenado sin compresión. Los antivirus y los sistemas de detección de amenazas confían en ese valor y analizan el contenido como datos sin comprimir ordinarios.
En realidad en el archivo hay un fichero comprimido con el algoritmo Deflate —el método de compresión estándar para ZIP. Como resultado, los mecanismos de defensa solo ven una secuencia de bytes sin sentido y no encuentran firmas de código malicioso. Según Chris Aziz, la técnica evade 50 de los 51 motores antivirus disponibles en la plataforma VirusTotal.
Al intentar descomprimir dicho archivo con utilidades estándar, incluidas 7-Zip, WinRAR o unzip, aparece un error o un mensaje de datos corruptos. La causa es el valor CRC especialmente modificado, que corresponde a la suma de comprobación del archivo ya descomprimido. Debido a esa discrepancia, los programas populares consideran el archivo dañado.
Sin embargo, el programa malicioso puede ignorar el método de compresión indicado en el encabezado y simplemente descomprimir los datos como Deflate. En ese caso la carga útil oculta se extrae sin errores. Chris Aziz publicó código de demostración y muestras de archivos en GitHub para mostrar el principio de la técnica.
El Centro de Coordinación CERT llamó la atención sobre la situación. La organización emitió una advertencia y asignó al problema el identificador CVE-2026-0866. Los representantes del centro señalaron la similitud con la vulnerabilidad CVE-2004-0935, descubierta hace más de veinte años en versiones tempranas del antivirus ESET.
Los especialistas del centro consideran que los desarrolladores de herramientas de seguridad deben verificar la concordancia entre el método de compresión indicado y los datos reales del archivo. Mecanismos adicionales para analizar la estructura de los archivos y modos de verificación más estrictos ayudarán a detectar este tipo de discrepancias.
También se subraya la necesidad de tratar con precaución los archivos archivados procedentes de fuentes desconocidas. El error «unsupported method» al descomprimir puede indicar un intento de ocultar contenido malicioso, por lo que es mejor eliminar esos archivos de inmediato.