Analisis Zombie ZIP: Inkonsistensi Arsitektural yang Melumpuhkan 95 Persen Antivirus
akalmerdeka.id — Penemuan teknik evasi arsip bernama Zombie ZIP oleh peneliti Christopher Aziz mengungkap kerentanan struktural pada mayoritas mesin antivirus (AV) dan Endpoint Detection and Response (EDR) di seluruh dunia.
Fenomena ini pertama kali diidentifikasi melalui publikasi kerentanan CVE-2026-0866 pada 10 Maret 2026, yang menunjukkan bagaimana manipulasi sederhana pada header file ZIP dapat menyembunyikan payload berbahaya dari pemindaian otomatis. Masalah utama terletak pada kepercayaan buta mesin pemindai terhadap metadata compression method yang dilaporkan oleh file tersebut.
Data pengujian dari Malwarebytes per 17 Maret 2026 mengonfirmasi bahwa 60 dari 63 mesin antivirus (95%) masih gagal mendeteksi ancaman ini enam hari setelah informasi tersebut dipublikasikan secara luas. Hal ini menunjukkan adanya keterlambatan respons vendor terhadap metode method field desynchronization yang menyerang logika dasar pemrosesan data arsip.
Disfungsi Logika Pemindaian pada Lapisan Metadata
Secara teknis, teknik ini memanipulasi kolom Compression Method menjadi nol (STORED), yang secara instruksional memerintahkan sistem untuk membaca data sebagai teks mentah tanpa kompresi. Namun, data aktual di dalamnya telah dikompresi menggunakan algoritme DEFLATE, sehingga mesin pemindai hanya melihat deretan data acak yang tidak sesuai dengan signature malware apa pun.
“Mesin AV memercayai kolom Method pada ZIP. Saat Method=0, mereka memindai data sebagai byte mentah tak terkompresi. Namun data sebenarnya terkompresi DEFLATE, sehingga pemindai melihat kebisingan kompresi dan tidak menemukan tanda tangan malware,” jelas Christopher Aziz, Security Researcher di Bombadil Systems, pada 10 Maret 2026.
Implikasi Keamanan dan Kegagalan Ekstraksi Standar
Karakteristik unik dari Zombie ZIP adalah ketidakmampuannya untuk dibuka menggunakan alat ekstraksi standar seperti 7-Zip atau WinRAR karena adanya checksum yang tidak sesuai. Hal ini justru menjadi taktik penyelundupan yang efektif karena file hanya bisa dieksekusi oleh loader khusus yang dirancang untuk mengabaikan kesalahan header tersebut.
Laurie Tyzenhaus, penulis dokumen dari CERT/CC, dalam catatan kerentanan VU#976247 pada 9 Maret 2026, menekankan bahwa kegagalan ini berakar pada ketergantungan perangkat lunak keamanan terhadap metadata untuk menentukan cara memproses file sebelum pemindaian. Jika penyerang memodifikasi kolom ini, perangkat lunak tersebut dipastikan akan gagal melakukan dekompresi dengan benar.
Para ahli menyarankan agar vendor keamanan beralih ke metode deteksi yang lebih agresif dengan memvalidasi karakteristik konten aktual terhadap metadata yang dilaporkan. Pengguna korporat diingatkan untuk meningkatkan kewaspadaan terhadap anomali pada file arsip yang gagal diekstrak secara normal, karena hal tersebut bisa menjadi indikasi adanya muatan jahat yang tersembunyi.***
