.webp)
Peneliti keamanan menemukan teknik baru bernama Zombie ZIP yang memungkinkan malware disembunyikan di dalam file ZIP yang sengaja dibuat rusak. Metode ini dinilai berpotensi menjadi cara baru bagi penyerang untuk mengirimkan malware tanpa terdeteksi oleh banyak antivirus.
Teknik tersebut memanfaatkan manipulasi pada header file ZIP. Header biasanya berisi metadata yang membantu software arsip memahami isi file, seperti metode kompresi, flag, serta informasi versi yang diperlukan untuk mengekstrak data.
Dalam metode Zombie ZIP, field metode kompresi pada header sengaja dirusak. Akibatnya, aplikasi pengarsip populer seperti 7-Zip dan WinRAR tidak dapat mengenali metode kompresi yang digunakan. Antivirus juga cenderung menganggap file tersebut hanya sebagai data terkompresi yang rusak atau tidak berbahaya.
SCROLL TO CONTINUE WITH CONTENT
Padahal, data sebenarnya tetap dikompresi menggunakan algoritma Deflate, metode kompresi lossless yang dikembangkan oleh Phil Katz untuk software PKZIP pada 1990. Malware tetap berada di dalam arsip, tetapi tersembunyi karena metadata kompresinya dimanipulasi.
Penyerang dapat memanfaatkan teknik ini untuk menyebarkan arsip ZIP yang tampak rusak. Payload berbahaya baru bisa diekstrak menggunakan alat khusus yang mengabaikan informasi metode kompresi di header dan langsung membaca aliran data mentah di dalam file.
Kerentanan ini saat ini dilacak sebagai CVE-2026-0866. Para peneliti yang mengembangkan teknik tersebut mengklaim Zombie ZIP mampu lolos dari sekitar 98% mesin antivirus yang diuji melalui VirusTotal, demikian dikutip detikINET dari Techspot, Rabu (18/3/2026).
Beberapa produk keamanan populer seperti Bitdefender, Kaspersky, dan Microsoft Defender dilaporkan tidak menandai arsip yang dimanipulasi tersebut sebagai ancaman dalam pengujian awal.
Namun tidak semua peneliti sepakat bahwa teknik ini merupakan kerentanan serius. Sejumlah analis malware menilai file tersebut pada dasarnya hanya arsip rusak atau terenkripsi yang membutuhkan alat khusus untuk dibuka, sehingga perilakunya mirip dengan file ZIP yang dilindungi kata sandi.
Peneliti dari CERT Coordination Center di Carnegie Mellon University menyebut beberapa alat ekstraksi masih mampu mengenali arsip yang dimodifikasi dan mengekstrak payload di dalamnya.
Mereka menyarankan pengembang antivirus untuk tidak hanya mengandalkan metadata arsip saat memindai file terkompresi. Pengguna juga diingatkan untuk berhati-hati saat membuka file ZIP yang diunduh dari sumber yang tidak terpercaya, karena arsip yang tampak rusak sekalipun bisa saja menyembunyikan malware.
(asj/asj)
