Supongamos que tiene una pieza de malware, ya sea como un binario independiente u oculto dentro de una imagen diseñada (dos casos distintos).
Una pieza de malware incrustado en un archivo generalmente contiene un exploit y una carga útil. El exploit es las características que harán que los programas que usan este archivo ejecuten la carga útil. En el contrato, un virus que es en sí mismo un binario no necesita un exploit, sino que solo necesita que lo ejecute, y su contenido es esencialmente la carga útil. Para mantenerlo simple, un exploit hace que el código no malicioso se comporte de forma errática y ejecute la carga útil en lugar del código normal.
El binario debe ejecutarse para causar daño. No conozco ninguna razón por la que un binario comprimido se descomprima y ejecute automáticamente. La simple presencia de la versión comprimida no debería causar ningún daño.
Un exploit oculto en una imagen diseñada típicamente apunta a un visor de imágenes. Más precisamente, se dirige a un visor de imágenes muy preciso, generalmente de una versión determinada (una vez que se descubre la vulnerabilidad que se está explotando y el usuario ha actualizado el visor de imágenes, ya no es vulnerable a abrir la imagen maliciosa). Una versión comprimida de esta imagen es ilegible para el visor de imágenes, porque no es el formato correcto. El código vulnerable dentro del visor no procesará los datos que contienen el exploit. La imagen comprimida contiene un exploit comprimido y una carga útil comprimida, los programas que utilizará no serán los vulnerables al exploit sin comprimir.
Sin embargo, hay una excepción: el exploit dentro de la imagen podría estar apuntando a la propia aplicación de compresión, en cuyo caso el hecho de intentar comprimir la imagen (con la aplicación vulnerable específica) hará que se ejecute la carga útil.
Y otra excepción: algunos programas (su programa de extracción de archivos, su administrador de archivos, etc.) pueden intentar ofrecer vistas previas del contenido de un archivo. Pueden mirar dentro del archivo descomprimiéndolo, detectar que hay una imagen y decidir mostrarla. Si el código que se usa para mostrar la imagen es el que es vulnerable a la vulnerabilidad original, se ejecutará la carga útil.
Para resumir: normalmente un archivo comprimido con un exploit comprimido no causa vulnerabilidades ya que el exploit ya no procesa el exploit por el código al que se dirige. Sin embargo, podría haber motivos para que el archivo se descomprima automáticamente y su contenido se procese, en cuyo caso sería vulnerable.
Para evitar este tipo de problemas, personalmente prefijo el malware por una secuencia de bits de mi elección para asegurar que ningún programa en mi sistema reconozca qué es el archivo y decida empujarlo de cualquier manera. Por lo que recuerdo, la función de cuarentena de los antivirus hace algo similar.
Probablemente no, pero no es una garantía. Los virus son solo programas de computadora. Tienen que ser ejecutados por algo (en la mayoría de los casos, simplemente copiar los archivos sin comprimir de un virus tampoco es suficiente para infectar su computadora), y en general, comprimir uno va a hacer que sea imposible ejecutarlo sin estar sin comprimir primero.
Sin embargo, un virus inteligente podría tratar de identificar vulnerabilidades en uno de los principales motores de compresión y diseñarse de manera tal que, cuando se comprime, pueda hacerse cargo de la propia biblioteca de compresión. Ahora, eso depende de que sean problemas en la biblioteca de compresión que se va a explotar, pero tampoco puede estar seguro de que esas vulnerabilidades no existan.
Es particularmente probable que encuentres un virus así, probablemente no, pero tampoco sabes qué podrían hacer otros espectadores cuando miran el contenido del archivo comprimido. Es un riesgo mínimo, pero no es necesariamente imposible escribir algo que pueda escapar de él.
Lea otras preguntas en las etiquetas malware virus compression