该马脚应用了紧缩文件底层逻辑的缺点,无论用户应用哪款解紧缩对象,只要打开一个经由特别修改的恶意ZIP包并点击个中的文件,黑客便能履行代码并攫取体系控制权。
黑客特意将该字段设为代表未紧缩状况的0,引诱防毒引擎认为文件处于原始存储模式而跳过解压扫描,仅读取到一堆纷乱的"紧缩噪音",根本无法辨认夹带的恶意法度榜样特点码。
该马脚的核心在于对ZIP文件标头的捏造,研究指出,大年夜多半防毒引擎在扫描紧缩包时会盲目信赖个中的“Method”(紧缩方法)字段。
与此同时,黑客针对WinRAR、7-Zip等对象的报错机制,有意将CRC校验值设为未紧缩状况下的数值,却在ZIP文件内内嵌入自定义DEFLATE算法加载器,令解压对象直接疏忽捏造的文件头,释放隐蔽的恶意代码。
这种双重欺骗手段实现了近乎完美的隐身后果,杀毒软件误判文件安然,解压对象则正常释放恶意法度榜样,用户点击履行即中招。
电脑紧急应变小组调和中间(CERT/CC)已为该马脚分派编号CVE-2026-0866,并指出其与20多年前影响早期ESET杀毒软件的CVE-2004-0935马脚高度类似。
CERT/CC警告,防毒引擎不该盲目信赖ZIP文件的Method标头,必须将紧缩栏位与实际材料进行交叉验证,并增设机制辨认构造异常的紧缩包。
在厂商宣布补丁前,用户对待来历不明的ZIP文件需非分特别谨慎,切勿随便马虎点击内部任何文件。
发表评论 取消回复