Der Kern der Technik liegt im sogenannten Method-Feld eines ZIP-Archivs, das angibt, wie die enthaltenen Daten komprimiert sind. Aziz beschreibt das Problem so: “Antiviren-Engines vertrauen dem ZIP-Method-Feld. Wenn Method=0 (STORED) gesetzt ist, scannen sie die Daten als rohe, unkomprimierte Bytes. Tatsächlich sind die Daten aber mit DEFLATE komprimiert – der Scanner sieht also komprimiertes Rauschen und findet keine Signaturen.”

Genau diese Diskrepanz nutzt “Zombie ZIP” aus: Im Header steht, die Daten lägen unkomprimiert vor, in Wahrheit sind sie aber mit dem in modernen ZIP-Dateien üblichen Deflate-Algorithmus gepackt. Ein Angreifer kann einen Loader bauen, der das fehlerhafte Header-Feld ignoriert und den Inhalt korrekt als Deflate-Daten entpackt.

Damit gängige Entpackprogramme wie 7-Zip, unzip oder WinRAR an einem solchen Archiv scheitern, muss laut Aziz der CRC-Wert, der die Datenintegrität sichert, auf die Prüfsumme der unkomprimierten Schaddatei gesetzt werden. “Ein eigens gebauter Loader jedoch, der die deklarierte Methode ignoriert und als DEFLATE dekomprimiert, stellt die Schaddatei perfekt wieder her”, erklärt der Forscher. Eine Machbarkeitsstudie (Proof of Concept) samt Beispielarchiven und weiteren Details hat er auf GitHub veröffentlicht.

Das CERT Coordination Center (CERT/CC) warnte in einem Bulletin vor “Zombie ZIP” und vor den Risiken fehlerhaft aufgebauter Archivdateien. Die Stelle weist darauf hin, dass ein manipulierter Header zwar Sicherheitslösungen täuschen kann, manche Entpackwerkzeuge das Archiv dennoch korrekt dekomprimieren. Für das Problem wurde die Kennung CVE-2026-0866 vergeben; laut CERT/CC ähnelt es einer mehr als zwei Jahrzehnte alten Schwachstelle, CVE-2004-0935, die eine frühe Version des Antivirenprodukts von ESET betraf.

Herstellern von Sicherheitswerkzeugen empfiehlt das CERT/CC, die deklarierte Kompressionsmethode gegen die tatsächlichen Daten zu prüfen, Mechanismen zur Erkennung von Inkonsistenzen in der Archivstruktur einzubauen und aggressivere Prüfmodi für Archive umzusetzen. Anwender sollten Archivdateien mit Vorsicht behandeln – insbesondere solche von unbekannten Absendern – und sie sofort löschen, wenn der Entpackversuch mit einem Fehler wegen einer “nicht unterstützten Methode” endet.