Teknik baru bernama Zombie ZIP memunculkan kekhawatiran baru di dunia keamanan siber. Metode ini memungkinkan malware disembunyikan di dalam file ZIP yang sengaja dibuat rusak agar lolos dari pemeriksaan banyak antivirus.
Temuan ini penting karena file ZIP masih menjadi format arsip yang sangat umum dipakai untuk berbagi dokumen dan aplikasi. Ketika arsip yang terlihat rusak ternyata tetap menyimpan muatan berbahaya, pengguna dan sistem keamanan bisa salah menilai tingkat risikonya.
Apa itu Zombie ZIP
Zombie ZIP adalah teknik manipulasi file arsip yang menyasar bagian header ZIP. Header berisi metadata penting yang dipakai aplikasi pengarsip untuk membaca isi file, termasuk metode kompresi, flag, dan informasi versi yang dibutuhkan saat ekstraksi.
Dalam skema ini, pelaku mengubah field metode kompresi pada header agar aplikasi seperti 7-Zip dan WinRAR gagal mengenali format kompresinya. Akibatnya, file sering dianggap hanya sebagai arsip rusak, padahal data di dalamnya masih tersimpan dan bisa dibuka dengan pendekatan tertentu.
Data sebenarnya tetap dikompresi memakai Deflate, yaitu algoritma kompresi lossless yang dikenal luas sejak era PKZIP. Karena metadata kompresinya dirusak, antivirus yang hanya mengandalkan pembacaan struktur arsip dapat melewatkan payload berbahaya di dalam file.
Mengapa teknik ini berbahaya
Bahaya utama Zombie ZIP terletak pada kemampuannya menyamarkan malware tanpa harus memakai enkripsi penuh. Arsip terlihat tidak normal, tetapi justru kondisi itulah yang dapat membuat sebagian mesin pemindai berhenti menganalisis lebih dalam.
Dalam laporan yang dikutip melalui TechSpot, teknik ini diklaim mampu lolos dari sekitar 98% mesin antivirus yang diuji lewat VirusTotal. Kerentanan tersebut saat ini dilacak dengan identifier CVE-2026-0866.
Sejumlah produk keamanan populer, termasuk Bitdefender, Kaspersky, dan Microsoft Defender, disebut tidak menandai arsip hasil manipulasi itu sebagai ancaman dalam pengujian awal. Temuan ini menunjukkan adanya celah pada cara sebagian alat keamanan membaca file arsip yang korup atau tidak standar.
Bagi penyerang, cara ini membuka peluang distribusi malware melalui lampiran email, file unduhan, atau paket arsip yang dibagikan lewat layanan berbagi berkas. Pengguna bisa mengira file hanya rusak dan tidak berbahaya, padahal muatan jahat masih tersembunyi di dalamnya.
Cara kerja Zombie ZIP secara sederhana
Berikut mekanisme umum yang dijelaskan para peneliti keamanan:
- Pelaku menyiapkan malware lalu mengompresnya dengan algoritma Deflate.
- Setelah itu, field metode kompresi pada header ZIP diubah atau dirusak.
- Aplikasi arsip umum gagal membaca metode kompresi tersebut.
- Antivirus yang bergantung pada metadata dapat menganggap file tidak dapat diproses atau sekadar rusak.
- Payload tetap bisa diambil memakai alat khusus yang mengabaikan informasi header dan langsung membaca aliran data mentah.
Metode ini tidak menghapus malware dari arsip. Teknik itu hanya menyembunyikan keberadaannya dari alur pemeriksaan yang terlalu bergantung pada struktur file yang valid.
Tidak semua peneliti sepakat
Meski terlihat mengkhawatirkan, tidak semua peneliti menilai Zombie ZIP sebagai ancaman yang sama seriusnya. Sejumlah analis malware berpendapat file seperti ini pada dasarnya mirip arsip rusak atau arsip yang butuh perlakuan khusus, sehingga ancamannya tidak sepenuhnya baru.
Pandangan ini muncul karena payload di dalamnya tidak otomatis aktif hanya dengan melihat file tersebut. Arsip tetap membutuhkan alat tertentu untuk diekstrak, sehingga perilakunya dinilai serupa dengan file ZIP yang dilindungi kata sandi atau format tidak standar lainnya.
Peneliti dari CERT Coordination Center di Carnegie Mellon University juga mencatat bahwa beberapa alat ekstraksi masih mampu mengenali arsip yang sudah dimodifikasi. Artinya, tidak semua software akan tertipu oleh manipulasi header yang dipakai dalam Zombie ZIP.
Perbedaan pendapat ini penting karena menunjukkan bahwa masalahnya bukan sekadar ada atau tidak ada malware. Persoalan utamanya terletak pada seberapa baik ekosistem keamanan mampu memeriksa file yang tidak mengikuti format arsip secara normal.
Dampak bagi antivirus dan industri keamanan
Kasus Zombie ZIP menegaskan keterbatasan pendekatan deteksi yang terlalu fokus pada metadata file. Jika mesin pemindai berhenti saat menemukan header yang tampak rusak, malware bisa tetap tersembunyi tanpa perlu teknik obfuscation yang lebih rumit.
Karena itu, para peneliti menyarankan pengembang antivirus agar tidak hanya mengandalkan informasi di header saat memindai arsip terkompresi. Pemeriksaan perlu diperluas ke pembacaan aliran data mentah, validasi struktur alternatif, dan analisis konten setelah proses rekonstruksi file.
Dalam praktik keamanan modern, pendekatan berlapis menjadi semakin penting. Deteksi berbasis signature, analisis heuristik, sandboxing, dan reputasi sumber file perlu dipadukan agar file arsip yang tampak rusak tidak langsung dianggap aman.
Langkah pencegahan untuk pengguna
Pengguna umum masih bisa menurunkan risiko dengan kebiasaan digital yang lebih ketat. File ZIP dari sumber tak dikenal sebaiknya diperlakukan sebagai objek berisiko, bahkan jika file itu terlihat gagal dibuka.
Beberapa langkah berikut dapat membantu:
- Hindari membuka file ZIP dari email, pesan instan, atau tautan unduhan yang tidak jelas asalnya.
- Periksa pengirim dan konteks file sebelum mengunduh atau mengekstraknya.
- Gunakan antivirus yang rutin diperbarui agar mesin deteksi mendapat pembaruan aturan terbaru.
- Jangan mengabaikan file arsip yang terlihat rusak, karena kondisi itu kini bisa dipakai sebagai kamuflase.
- Jika file penting harus diperiksa, lakukan di lingkungan terisolasi seperti sandbox atau mesin virtual.
Di lingkungan organisasi, tim TI perlu memperketat pemantauan lampiran arsip dan file kompresi masuk. Sistem email gateway, analisis file berbasis cloud, dan kebijakan blokir terhadap arsip mencurigakan dapat membantu menekan peluang serangan.
Zombie ZIP menunjukkan bahwa file yang tampak tidak bisa dibuka belum tentu tidak berbahaya. Di tengah meningkatnya kreativitas pelaku serangan, kehati-hatian terhadap arsip rusak kini menjadi bagian penting dari praktik keamanan digital sehari-hari.