Entre os grupos de usuários de software de compactação, muitas vezes há um debate entre o WinRAR e o 7-Zip. No entanto, uma vulnerabilidade subjacente recentemente exposta colocou todos os utilizadores em crise ao mesmo tempo. Chris Aziz, pesquisador da empresa de segurança cibernética Bombadil Systems, descobriu e expôs uma grave vulnerabilidade de segurança chamada “Zombie ZIP”. Atualmente, nenhum dos 50 principais mecanismos antivírus do VirusTotal pode reconhecer esses arquivos ZIP problemáticos.

Esta vulnerabilidade explora falhas na lógica subjacente de arquivos compactados. Não importa qual ferramenta de descompactação o usuário use, desde que um pacote ZIP malicioso especialmente adulterado seja aberto e os arquivos nele contidos sejam clicados, o hacker pode executar o código e assumir o controle do sistema.

O núcleo desta vulnerabilidade reside na falsificação de cabeçalhos de arquivos ZIP. A pesquisa aponta que a maioria dos mecanismos antivírus confia cegamente no campo “Método” (método de compactação) em pacotes compactados ao verificá-los.

O hacker definiu deliberadamente este campo como 0, que representa o estado descompactado, induzindo o mecanismo antivírus a pensar que o arquivo está no modo de armazenamento original e pular a verificação de descompactação. Apenas um monte de "ruídos de compressão" confusos são lidos e a assinatura do programa malicioso incorporada não pode ser identificada.

Ao mesmo tempo, os hackers atacaram os mecanismos de relatório de erros do WinRAR, 7-Zip e outras ferramentas, definindo deliberadamente o valor de verificação CRC para o valor no estado descompactado, mas incorporando um carregador de algoritmo DEFLATE personalizado no arquivo ZIP, fazendo com que a ferramenta de descompactação ignore diretamente o cabeçalho do arquivo forjado e libere o código malicioso oculto.

Este método de duplo engano atinge um efeito furtivo quase perfeito. O software antivírus julga mal que o arquivo é seguro e a ferramenta de descompactação libera o programa malicioso normalmente, e o usuário clica para executá-lo e é enganado.

O Centro de Coordenação da Equipe de Resposta a Emergências de Computadores (CERT/CC) atribuiu à vulnerabilidade o número CVE-2026-0866, observando que é altamente semelhante à vulnerabilidade CVE-2004-0935 que afetou os primeiros softwares antivírus da ESET há mais de 20 anos.

CERT/CC alerta que os mecanismos antivírus não devem confiar cegamente no cabeçalho do método dos arquivos ZIP e devem verificar o campo de compactação com os dados reais e adicionar um mecanismo para identificar pacotes compactados com estrutura anormal.

Antes de o fabricante lançar um patch, os usuários devem ser extremamente cautelosos ao lidar com arquivos ZIP de origem desconhecida e não clicar facilmente em nenhum arquivo contido nele.