Waspada Zombie ZIP, Trik Baru Malware Tipu Antivirus

Dunia keamanan siber kembali dihadapkan pada temuan teknik baru yang cukup mengkhawatirkan. Metode yang diberi nama “Zombie ZIP” ini memungkinkan malware bersembunyi di dalam file arsip dengan cara yang sulit dideteksi oleh berbagai sistem keamanan modern, termasuk antivirus dan solusi endpoint detection and response (EDR).

Teknik ini pertama kali diungkap oleh peneliti keamanan dari Bombadil Systems, yaitu Chris Aziz. Dalam penelitiannya, Aziz menemukan bahwa metode ini mampu mengecoh sebagian besar mesin antivirus yang tersedia saat ini. Bahkan, dari hasil pengujian di platform VirusTotal, teknik ini berhasil melewati 50 dari 51 mesin antivirus yang diuji.

Secara sederhana, “Zombie ZIP” bekerja dengan memanipulasi struktur internal file ZIP, khususnya pada bagian header. Header ini biasanya berisi informasi penting mengenai bagaimana file di dalam arsip dikompresi. Sistem keamanan umumnya mempercayai informasi ini untuk menentukan cara memindai file.

Dalam teknik ini, pelaku mengubah nilai metode kompresi pada header menjadi “STORED” (tanpa kompresi), padahal data sebenarnya masih dikompresi menggunakan algoritma DEFLATE. Akibatnya, antivirus akan membaca data tersebut sebagai file mentah yang tidak dikompresi. Karena data sebenarnya masih dalam bentuk terkompresi, sistem keamanan hanya melihatnya sebagai data acak atau “noise”, sehingga gagal mengenali pola berbahaya atau tanda-tanda malware.

Keunikan lain dari teknik ini adalah dampaknya terhadap aplikasi ekstraksi file populer seperti WinRAR dan 7-Zip. Ketika pengguna mencoba membuka file tersebut, aplikasi justru akan menampilkan error atau menyatakan file rusak. Hal ini terjadi karena adanya ketidaksesuaian antara informasi header dan isi data sebenarnya.

Untuk memperkuat efek ini, peneliti menjelaskan bahwa nilai CRC (Cyclic Redundancy Check) dalam file juga dimodifikasi. CRC biasanya digunakan untuk memastikan integritas data. Dalam kasus “Zombie ZIP”, nilai CRC diatur agar sesuai dengan data yang belum dikompresi, sehingga semakin membingungkan alat ekstraksi standar dan menyebabkan proses ekstraksi gagal.

Namun, di balik kerusakan yang tampak, payload malware sebenarnya tetap utuh. Pelaku serangan dapat menggunakan loader khusus yang dirancang untuk mengabaikan informasi header dan langsung mengekstrak data menggunakan metode DEFLATE. Dengan cara ini, malware dapat dipulihkan secara sempurna dan dijalankan di sistem target.

Penemuan ini semakin diperkuat dengan dirilisnya proof-of-concept (PoC) oleh Aziz di GitHub. PoC tersebut berisi contoh file arsip dan penjelasan teknis yang menunjukkan bagaimana teknik ini dapat diterapkan dalam skenario nyata.

Menanggapi temuan ini, CERT Coordination Center (CERT/CC) telah mengeluarkan peringatan resmi. Lembaga tersebut menekankan bahwa file arsip yang dimodifikasi secara tidak normal seperti ini dapat menjadi ancaman serius jika tidak ditangani dengan tepat.

Masalah ini bahkan telah mendapatkan identifikasi kerentanan dengan kode CVE-2026-0866. Menariknya, kasus ini disebut memiliki kemiripan dengan kerentanan lama, yaitu CVE-2004-0935, yang pernah ditemukan pada versi awal antivirus ESET lebih dari dua dekade lalu.

CERT/CC juga memberikan sejumlah rekomendasi kepada pengembang perangkat keamanan. Di antaranya adalah melakukan verifikasi silang antara metode kompresi pada header dengan data sebenarnya, menambahkan mekanisme deteksi inkonsistensi dalam struktur arsip, serta menerapkan metode inspeksi file yang lebih ketat dan agresif.

Bagi pengguna umum, kewaspadaan tetap menjadi kunci utama. File arsip yang berasal dari sumber tidak dikenal sebaiknya tidak langsung dibuka. Jika saat proses ekstraksi muncul pesan error seperti “unsupported method” atau file dianggap rusak, pengguna disarankan untuk segera menghapus file tersebut karena berpotensi mengandung ancaman.

Meski demikian, tidak semua pihak sepakat bahwa “Zombie ZIP” layak dikategorikan sebagai kerentanan keamanan. Sejumlah peneliti keamanan siber menilai bahwa teknik ini lebih tepat disebut sebagai metode distribusi malware, bukan celah keamanan dalam sistem.

Menurut mereka, file ZIP yang dimodifikasi dengan cara ini sebenarnya sudah berada di luar standar format normal. Akibatnya, baik alat ekstraksi maupun antivirus tidak dapat memproses file tersebut sebagaimana mestinya. Dengan kata lain, kegagalan dalam mendeteksi malware bukan sepenuhnya karena kelemahan sistem, melainkan karena file tersebut memang sengaja “dirusak”.

Seorang peneliti anonim bahkan menyatakan bahwa file dengan teknik ini tidak dapat dibuka di sistem target tanpa alat khusus. Hal ini membuatnya sulit dianggap sebagai kerentanan yang bisa dieksploitasi secara langsung.

Pendapat serupa juga disampaikan oleh peneliti dari GData, Karsten Hahn. Ia mempertanyakan pemberian kode CVE terhadap teknik ini. Menurutnya, jika suatu file harus dimodifikasi secara ekstrem atau dienkripsi dan hanya bisa dibuka menggunakan loader khusus, maka hasilnya tidak jauh berbeda dengan metode lain yang memang tidak dirancang untuk diproses oleh sistem standar.

Perdebatan ini menunjukkan bahwa batas antara teknik serangan dan kerentanan keamanan terkadang tidak selalu jelas. Namun yang pasti, “Zombie ZIP” menjadi pengingat bahwa pelaku kejahatan siber terus menemukan cara baru untuk menghindari deteksi.

Di tengah berkembangnya ancaman yang semakin kompleks, baik pengembang sistem keamanan maupun pengguna perlu meningkatkan kewaspadaan dan terus beradaptasi dengan teknik-teknik baru yang muncul.