{"id":15947,"date":"2026-03-12T06:31:49","date_gmt":"2026-03-12T06:31:49","guid":{"rendered":"https:\/\/newestek.com\/?p=15947"},"modified":"2026-03-12T06:31:49","modified_gmt":"2026-03-12T06:31:49","slug":"zombie-zip-neue-angriffstechnik-tauscht-virenscanner","status":"publish","type":"post","link":"https:\/\/newestek.com\/?p=15947","title":{"rendered":"\u201cZombie ZIP\u201d: Neue Angriffstechnik t\u00e4uscht Virenscanner"},"content":{"rendered":"
\n
\n
\n
\n
\n
\n
<\/div>\n<\/section>\n
\n
\n

Mithilfe sogenannter Zombie-ZIPs lassen sich fast alle Virenscanner austricksen.<\/p>\n<\/figcaption><\/figure>\n

Pressmaster | shutterstock.com <\/p>\n<\/div>\n

Eine neue Technik mit dem Namen \u201eZombie ZIP\u201c ist in der Lage, Payloads in komprimierten Dateien zu verbergen. Sicherheitsl\u00f6sungen wie Antiviren- und EDR-Produkte (Endpoint Detection and Response) k\u00f6nnen sie nicht entdecken, denn die digitalen Untoten wurden speziell geschaffen, um die Security zu umgehen. Entwickelt wurden sie von Chris Aziz, einem Sicherheitsforscher beim Security-Consulting-Unternehmen Bombadil Systems.<\/p>\n

Header t\u00e4uschen Software<\/h2>\n

Das Ganze l\u00e4uft wie folgt<\/a> ab, so Aziz: Werden die Dateien mit Standardprogrammen wie WinRAR oder 7-Zip extrahiert, kommt es zu Fehlermeldungen oder korrumpierten Daten. Grund ist, dass die ZIP-Header so manipuliert sind, dass sie die entsprechenden Programme t\u00e4uschen. Sie sorgen daf\u00fcr, dass komprimierte Daten als unkomprimiert behandeln werden.<\/p>\n

Anstatt das Archiv als potenziell gef\u00e4hrlich zu kennzeichnen, vertrauen Sicherheits-Tools dem Header und scannen die Datei, als w\u00e4re sie eine Kopie des Originals in einem ZIP-Container. Konkret sollen sich laut Aziz 50 der 51 Antivirenprogramme, darunter auch der Microsoft Defender, ausgetricken lassen.<\/p>\n

Wie das m\u00f6glich ist, erkl\u00e4rt er so: \u201eAntivirenprogramme vertrauen dem Feld \u201eMethod\u201c der ZIP-Datei. Liegt \u201eMethod=0\u201c (STORED) vor, scannen sie die Daten als unkomprimierte Rohdaten. Tats\u00e4chlich sind die Daten aber DEFLATE-komprimiert \u2013 der Scanner sieht also komprimiertes Rauschen und findet keine Signaturen\u201c.<\/p>\n

Dem Experten zufolge k\u00f6nne ein Angreifer auf diese Weise einen Loader erstellen, der den Header ignoriert und das Archiv als das behandelt, was es ist: Daten, die mit dem in modernen ZIP-Dateien \u00fcblichen DEFLATE-Algorithmus komprimiert wurden.<\/p>\n

Falsch-negative Ergebnisse<\/h2>\n

Aziz hat einen Proof-of-Concept (PoC) auf GitHub ver\u00f6ffentlicht und dort Beispielarchive sowie weitere Details zur Funktionsweise der Methode bereitgestellt. Um bei g\u00e4ngigen Entpackungsprogrammen einen Fehler zu provozieren, m\u00fcsse der CRC-Wert, der die Datenintegrit\u00e4t sicherstellt, auf die Pr\u00fcfsumme der unkomprimierten Payload gesetzt werden, so der Sicherheitsforscher.<\/p>\n

\u201eEin speziell entwickelter Loader, der die angegebene Methode ignoriert und als DEFLATE dekomprimiert, stellt die Nutzdaten jedoch einwandfrei wieder her\u201c, so Aziz.<\/p>\n

F\u00fcr ihn besteht die Schwachstelle deshalb darin, dass die Scanner umgangen werden, denn Sicherheitskontrollen behaupten, dass \u201eno malware present\u201c sei. In Wirklichkeit sei sie aber vorhanden und k\u00f6nne mit Hilfe von Angreifer-Tooling trivial wiederhergestellt werden.<\/p>\n

Als Reaktion auf die Ergebnisse ver\u00f6ffentlichte das CERT Coordination Center (CERT\/CC) eine Warnung vor \u201eZombie-ZIPs\u201c.<\/p>\n

Die offizielle Kennzeichnung dieser Sicherheitsl\u00fccke lautet CVE-2026-0866 und \u00e4hnelt der vor \u00fcber zwanzig Jahren bekannt gewordenen Schwachstelle CVE-2004-0935. Hierbei handelte es sich um eine Schwachstelle, die eine fr\u00fche Version des ESET-Antivirenprogramms betraf.<\/p>\n

Tipps f\u00fcr die Security<\/h2>\n

Die Experten des CERT\/CC schlagen als Gegenma\u00dfnahme vor, dass Anbieter von Sicherheitstools<\/p>\n