Ces fichiers ZIP zombies permettent aux malwares d’échapper aux antivirus
Les cybercriminels cherchent sans cesse de nouvelles façons de contourner les protections informatiques. Une technique baptisée “Zombie ZIP” exploite désormais les failles dans la gestion des fichiers compressés. Elle permet de dissimuler des malwares dans des archives capables de tromper la plupart des antivirus.
Les logiciels malveillants utilisent souvent des méthodes discrètes pour s’introduire dans les ordinateurs. Les fichiers compressés font partie des outils les plus utilisés par les pirates. Ils permettent de regrouper plusieurs fichiers et de masquer plus facilement un programme dangereux. Depuis plusieurs années, les chercheurs observent que les cybercriminels exploitent certaines particularités du format ZIP pour échapper aux contrôles de sécurité.
Ce type de technique n’est pas nouveau. On parlait récemment du malware Gootloader, qui utilise lui aussi des archives ZIP modifiées pour contourner les antivirus. Dans certains cas, les outils comme WinRAR ou 7-Zip ne parvenaient même pas à analyser correctement leur contenu. Une autre affaire récente concernait une fausse version du logiciel 7-Zip diffusée sur un site frauduleux. Le programme semblait fonctionner normalement, mais installait en réalité un malware capable d’utiliser l’ordinateur de la victime comme relais Internet.
La technique Zombie ZIP manipule l’en-tête des archives pour tromper les antivirus
Une nouvelle méthode baptisée Zombie ZIP pousse cette logique encore plus loin. Dans une alerte relayée par le CERT Coordination Center, les chercheurs expliquent que cette technique modifie l’en-tête d’un fichier ZIP pour tromper les outils de sécurité. L’archive indique alors que les données ne sont pas compressées. En réalité, elles utilisent l’algorithme de compression classique Deflate, ce qui perturbe l’analyse des antivirus.
Les logiciels de sécurité font généralement confiance aux informations présentes dans l’en-tête du fichier. Ils analysent donc les données comme si elles étaient déjà décompressées. En pratique, ils ne voient qu’un flux de données incompréhensibles et ne détectent aucune signature malveillante. Selon les analyses publiées par les chercheurs, cette technique fonctionnerait contre 50 des 51 moteurs antivirus testés sur VirusTotal. Les experts recommandent de se méfier des archives qui provoquent des erreurs lors de l’extraction, notamment celles signalant une méthode de compression non prise en charge. Il est donc préférable de se méfier des fichiers ZIP provenant de sources inconnues, en particulier lorsqu’ils affichent une erreur lors de l’extraction.
