Teknik Zombie ZIP Sembunyikan Malware di File Rusak

Para peneliti keamanan menemukan cara baru untuk menyembunyikan perangkat lunak berbahaya (malware) di dalam arsip ZIP yang terlihat rusak. Teknik ini disebut Zombie ZIP. Metode ini berpotensi membuat malware sulit terdeteksi oleh banyak program antivirus.

Inti dari teknik ini adalah memanipulasi bagian penting dari file ZIP, yang disebut header. Header ini berisi petunjuk bagi perangkat lunak pengarsip, seperti cara data dikompresi dan informasi versi.

Dalam serangan Zombie ZIP, penyerang sengaja merusak bagian field metode kompresi di header. Akibatnya, aplikasi populer seperti 7-Zip dan WinRAR tidak bisa mengenali metode kompresi yang dipakai. Antivirus juga sering menganggap file tersebut hanya sebagai data terkompresi yang rusak atau tidak berbahaya.

Padahal, data di dalamnya masih menggunakan metode kompresi standar, yaitu Deflate. Metode Deflate ini sudah ada sejak tahun 1990. Malware tetap ada di dalam arsip, hanya saja tersembunyi karena informasi kompresinya diubah.

Penyerang bisa menyebarkan arsip ZIP yang tampak rusak ini. Muatan berbahaya baru bisa dikeluarkan menggunakan perangkat lunak khusus. Alat khusus ini mengabaikan informasi metode kompresi di header dan langsung membaca data mentah di dalam file.

Kerentanan ini dilacak dengan kode CVE-2026-0866. Menurut para peneliti yang mengembangkan teknik ini, Zombie ZIP berhasil melewati sekitar 98% mesin antivirus saat diuji coba melalui VirusTotal pada Rabu (18/03/2026).

Beberapa produk keamanan ternama, termasuk Bitdefender, Kaspersky, dan Microsoft Defender, dilaporkan tidak mendeteksi arsip yang dimanipulasi ini sebagai ancaman dalam pengujian awal.

Tidak semua analis sepakat bahwa ini adalah masalah keamanan besar. Beberapa analis malware berpendapat bahwa file ini pada dasarnya hanyalah arsip rusak atau terenkripsi yang memerlukan alat khusus untuk dibuka. Perilakunya dianggap mirip dengan file ZIP yang dilindungi kata sandi.

Peneliti dari CERT Coordination Center di Carnegie Mellon University mencatat bahwa beberapa alat ekstraksi masih bisa mengenali arsip yang dimodifikasi dan mengeluarkan isinya. Mereka menyarankan pembuat antivirus agar tidak hanya bergantung pada metadata arsip saat memindai file yang dikompresi.

Pengguna juga diimbau untuk lebih berhati-hati saat membuka file ZIP yang didapat dari sumber yang tidak jelas. Arsip yang terlihat rusak sekalipun bisa saja menyembunyikan malware.

Teknik Zombie ZIP menunjukkan bahwa modifikasi metadata pada format file umum dapat digunakan untuk menghindari deteksi keamanan. Fokus utama adalah pada manipulasi informasi header untuk menyamarkan keberadaan payload berbahaya yang dikompresi secara standar.