Суть уязвимости (получившей индекс CVE-2026-0866) элегантна и пугающе проста. Она основана на манипуляции заголовками архива. Исследователь выяснил, что если создать ZIP-файл и вручную изменить в его заголовке метод сжатия на STORED (0), хотя на самом деле данные сжаты методом DEFLATE (8), защитное ПО впадает в ступор.

Когда антивирус видит флаг «STORED», он думает, что файлы внутри лежат в открытом виде (как в обычной папке). Он сканирует этот поток данных, видит "шум" сжатого контента и, не найдя знакомых сигнатур вирусов, со спокойной совестью помечает архив как безопасный.

Крис Азиз проверил свой "зомби-архив" на VirusTotal через 51 антивирусный движок. Результат ошеломил — 98% программ (50 из 51) пропустили вредоносный файл. Лишь один малоизвестный движок (Kingsoft) смог распознать угрозу.

Обычные архиваторы вроде WinRAR или 7-Zip при попытке открыть такой файл выдают ошибку CRC или "неподдерживаемый метод". Это создает иллюзию того, что файл просто "битый".

Опасность не в том, что ты случайно откроешь этот файл (стандартные средства его просто не поймут), а в том, как его используют хакеры. Злоумышленники присылают такой архив вместе с кастомным загрузчиком (маленькой программкой или скриптом). Этот загрузчик игнорирует ложный заголовок, принудительно распаковывает вирусный файл методом DEFLATE и запускает его в системе.