DUNIA keamanan siber belakangan ini dihebohkan dengan temuan metode baru untuk mengelabui antivirus oleh seorang peneliti yang disebut sebagai Zombie ZIP.
Teknik ini pada dasarnya adalah cara sederhana bagi penyerang untuk mengubah bagian awal atau header dari sebuah file ZIP sehingga secara palsu menyatakan bahwa isinya tidak dikompresi, padahal sebenarnya data di dalamnya tetap terkompresi.
Masalah utama muncul karena banyak produk antivirus mempercayai header tersebut dan tidak melakukan dekompresi atau pemeriksaan payload yang sebenarnya dengan benar. Dalam pengujian yang dilakukan sekitar seminggu setelah pengungkapan, sekitar 60 dari 63 paket antivirus umum gagal mendeteksi malware yang disembunyikan dengan cara ini, yang berarti sekitar 95% mesin pemindai membiarkannya lolos.
Baca juga : Mengenal 5 Virus Berbahaya yang Bisa Menyerang Data
Manipulasi Terhadap Header file ZIPZombie ZIP merupakan metode untuk membuat file ZIP cacat yang mampu melompati deteksi sebagian besar pemindai antivirus. Namun, teknik ini memiliki batasan besar karena file ZIP yang dimanipulasi tersebut memerlukan pemuat atau loader khusus agar dapat dibuka dengan benar.
Alat arsip normal seperti ekstraktor bawaan Windows, 7-zip, WinRAR, dan lainnya justru akan menandai file tersebut sebagai file yang rusak atau cacat. Meskipun kerentanan ini dilacak sebagai CVE-2026-0866, beberapa peneliti keamanan siber masih memperdebatkan apakah metode ini layak dikategorikan sebagai kerentanan atau diberikan nomor CVE sama sekali.
Fakta bahwa teknik ini memerlukan loader khusus membuatnya hampir mustahil untuk menginfeksi sistem yang belum disusupi sebelumnya. Selain itu, solusi anti-malware tetap dapat mendeteksi loader khusus maupun malware yang sudah dikenal setelah payload di dekompresi dengan benar. Dengan kata lain, bypass ini hanya memengaruhi inspeksi awal pada file ZIP, bukan eksekusi aktual dari malware yang sudah diketahui.
Baca juga : ViBiCloud, Cyfirma, dan Nextgen Kolaborasi Perkuat Keamanan Siber di Indonesia
Cara Kerja Zombie ZIP dalam Mengecoh PemindaiDilansir dari Malwarebytes, peneliti yang menemukan metode ini menjelaskan mekanisme kerja Zombie ZIP secara mendalam melalui halaman GitHub. Dengan mengubah tipe kompresi file menjadi 0 atau STORED, alat yang mencoba membaca arsip akan berasumsi bahwa konten file hanya disimpan di dalam ZIP tanpa dikompresi.
“Mesin pemindai antivirus mempercayai kolom Metode ZIP. Ketika Metode=0 (STORED), mereka memindai data sebagai byte mentah yang tidak dikompresi. Namun data tersebut sebenarnya dikompresi dengan DEFLATE, sehingga pemindai hanya melihat derau terkompresi dan tidak menemukan tanda tangan malware.”
Selain itu, nilai CRC diatur ke checksum payload yang tidak dikompresi, sehingga menciptakan ketidakcocokan tambahan yang menyebabkan alat ekstraksi standar seperti 7-Zip atau WinRAR melaporkan kesalahan atau menghasilkan output yang rusak. Namun, loader yang dibuat khusus dan mengabaikan metode yang dideklarasikan tetap dapat memulihkan payload dengan sempurna.
Sang peneliti menegaskan bahwa “Kerentanannya terletak pada penghindaran pemindai: kontrol keamanan menyatakan 'tidak ada malware yang hadir' sementara malware tersebut sebenarnya ada dan dapat dipulihkan dengan mudah oleh alat penyerang.”
Langkah Pencegahan Hadapi Zombie ZIPUntuk menghadapi ancaman ini, peneliti keamanan Didier Stevens menerbitkan metode untuk memeriksa konten file Zombie ZIP secara aman. Salah satu cara untuk mengenali manipulasi ini adalah dengan membandingkan bidang header ZIP antara ukuran terkompresi dan ukuran tidak terkompresi.
Jika keduanya berbeda, itu menandakan bahwa file ZIP tersebut sebenarnya tidak dalam mode STORED melainkan dikompresi. Meskipun teknik ini diklaim mampu melewati hampir 98% mesin antivirus di VirusTotal, termasuk produk besar seperti Bitdefender, Kaspersky, dan Microsoft Defender, beberapa analis malware berpendapat bahwa jika utilitas arsip standar tidak dapat menginterpretasikan aliran data tersebut, maka file itu secara efektif hanyalah data yang rusak atau terenkripsi yang memerlukan metode ekstraksi khusus, mirip dengan perilaku arsip ZIP yang dilindungi kata sandi.
Peneliti di Pusat Koordinasi CERT Universitas Carnegie Mellon menyarankan agar pengembang antivirus tidak hanya bergantung pada struktur metadata yang diharapkan saat memindai file terkompresi. Pengguna pun tetap diimbau untuk berhati-hati terhadap arsip yang diunduh, terutama dari sumber yang tidak dipercaya. (Malwarebytes/TechSpot/Z-2)
