Görünenin ötesinde saklanan bir tehdit, ZIP arşivlerinin başlık bilgilerinin kasten bozularak antivirüs programlarını yanıltmasıyla ortaya çıkıyor. Zombie ZIP adı verilen bu yöntem, zararlı yazılımları bozulmuş görünen arşivlerin içine gizleyerek güvenlik taramalarını geçebilme yeteneğiyle dikkat çekiyor.
Normalde bir ZIP dosyasının başlığı, sıkıştırma yöntemi, sürüm bilgisi ve dosyanın nasıl açılacağını belirleyen çeşitli meta verileri barındırır. Ancak söz konusu tekniğin etkisinde, sıkıştırma yöntemini gösteren alan bilinçli olarak hatalı hale getiriliyor. Böylece popüler arşiv araçları, 7‑Zip ve WinRAR gibi yazılımlar dosyanın hangi yöntemle sıkıştırıldığını ayırt edemeyebiliyor. Bunun karşılığında antivirüs yazılımları dosyayı çoğu durumda zararsız “bozuk veri” veya “sıkıştırılmış gürültü” olarak yorumlayabiliyor.
Gerçekte arşiv içinde, Deflate algoritmasıyla sıkıştırılmış gerçek bir zararlı yük bulunuyor. Deflate, 1990’da Phil Katz tarafından geliştirilen ve ZIP formatında uzun yıllardır kullanılan bir teknik. Zombie ZIP’te asıl tehlike, arşiv içeriğinin açılmasını sağlayacak özel bir çıkarma aracının hatalı başlığı görmezden gelmesiyle ortaya çıkıyor. Bu yüzden saldırganlar, dosyayı hedef sisteme ulaştırdıktan sonra ikinci bir araçla gerçek zararlı yazılımı ortaya çıkarabiliyor.
Mevcut durum CVE‑2026‑0866 ile takip edilen bu zayıflık, taramalarda antivirüs programlarının yaklaşık %98’ini atlatabildiğini gösteren testlerle destekleniyor. Bitdefender, Kaspersky ve Microsoft Defender gibi önde gelen güvenlik çözümlerinin bu bozuk arşivleri çoğu durumda tehdit olarak işaretlemediği iddia ediliyor. Ancak bazı güvenlik uzmanları, bunun köklü bir güvenlik açığı olarak nitelendirilmemesi gerektiğini savunuyor. Çünkü arşiv yazılımları başlık bilgilerini yorumlayamadığında, arşiv aslında bozuk ya da şifrelenmiş veri gibi işlem görüyor. Parola korumalı ZIP dosyalarıyla benzer bir durum ortaya çıkıyor.
Araştırmacılar, bazı gelişmiş çıkarma araçlarının hatalı başlığa rağmen veriyi tanıyabildiğini ve içindeki dosyayı açabildiğini belirtiyor. Bu nedenle antivirüs geliştiricilerinin sıkıştırılmış dosyaları incelerken yalnızca başlık bilgilerine güvenmemesi gerektiği konusunda uyarılar yineleniyor.
