ZIP压缩文件存严重漏洞！50款主流杀软均被骗过

近日，一项名为“Zombie zip”的严重安全漏洞被曝光，引发压缩软件用户群体的高度关注。尽管长期以来，WinRAR 与 7-Zip 等主流解压工具常被拿来比较优劣，但此次漏洞却让所有依赖 ZIP 格式处理的用户——无论使用何种解压软件——同时面临严峻风险。

该漏洞由网络安全公司 Bombadil Systems 的研究员 Chris Aziz 发现并公开披露。研究显示，当前 VirusTotal 平台上检测的 50 款主流杀毒引擎均无法识别此类恶意 ZIP 文件，存在系统性漏报。其危害机制极为隐蔽：攻击者只需诱导用户打开一个经过特殊构造的 ZIP 压缩包，并点击其中任意文件，即可触发远程代码执行，进而完全接管目标系统。

漏洞的核心在于对 ZIP 文件底层结构的双重欺骗。首先，攻击者篡改 ZIP 标头中的 “Method”（压缩方式）字段，将其强制设为数值 0——即代表“存储（Stored）”模式（未压缩）。绝大多数杀毒引擎在扫描时会盲目信任该字段，误判文件内容为原始明文，从而跳过实际解压与深度分析，仅读取到一段无意义的“压缩噪音”，导致恶意载荷的特征码完全无法被识别。

其次，攻击者进一步利用解压工具自身的容错逻辑实施第二重欺骗：他们将文件的 CRC32 校验值伪造为与“未压缩”状态匹配的数值，同时在 ZIP 内嵌入一个自定义的 DEFLATE 解码加载器。当 Winrar、7-Zip 等工具解析该文件时，因标头声明“未压缩”，便绕过标准解压流程；而一旦用户点击内部文件，这些工具又会依据实际数据流调用 DEFLATE 解码器——此时隐藏的恶意代码便被悄然释放并执行。

这种“标头欺骗 + 数据劫持”的组合手法，使恶意 ZIP 在杀毒软件眼中“合法无害”，在解压工具眼中“行为正常”，最终在用户毫无察觉的情况下完成攻击链闭环，隐身效果近乎完美。

鉴于其严重性，美国计算机应急准备小组协调中心（CERT/CC）已正式为该漏洞分配编号 CVE-2026-0866，并指出其技术原理与 20 多年前影响早期 ESET 杀毒软件的 CVE-2004-0935 漏洞高度相似，属于 ZIP 协议解析层长期被忽视的深层缺陷。CERT/CC 特别强调：防病毒产品不应再无条件信任 ZIP 文件中的 Method 字段，而必须建立“字段值—实际数据”的交叉验证机制；同时应增强对 ZIP 结构异常（如 Method 与压缩数据不匹配、CRC 值矛盾等）的主动识别能力。

在相关厂商发布官方补丁前，用户务必提高警惕：切勿打开来源不明或可疑的 ZIP 文件；即使已解压，也严禁随意点击其中的可执行文件（如 .exe、.scr、.bat、.ps1 等）；建议优先使用具备沙箱隔离能力的安全软件进行预检，并及时更新操作系统及解压工具至最新稳定版本。