德国IT管理员Christian发现，其管理的Windows客户端系统盘出现名为“C:\virus”的空文件夹，初步怀疑与Trend Micro的Vision One安全软件有关。该问题最早追溯到2024年4月7日，文件夹创建模式无规律可循，但访问控制列表显示所有者为“本地管理员”组。尽管IT团队尝试删除文件夹，但部分设备上文件夹会立即重新生成。通过审计策略，Christian确认文件夹由“coreServiceShell.exe”进程以SYSTEM权限创建，Trend Micro最初否认，但最终模糊承认可能由其产品生成，并表示已收到更多类似报告。

🧐 德国IT管理员Christian发现其管理的Windows客户端系统盘出现“C:\virus”空文件夹，最早可追溯到2024年4月7日，初步怀疑与Trend Micro的Vision One安全软件有关。

🤔 文件夹的创建模式没有规律可循，但访问控制列表（ACLs）显示所有者为“本地管理员”组，排除了普通用户恶作剧的可能性。

💻 通过审计策略，Christian确认文件夹由“coreServiceShell.exe”进程以SYSTEM权限创建，Trend Micro承认这是其核心程序进程。

❗ IT团队尝试删除部分文件夹，但某些设备上文件夹会立即重新生成，Christian通过激活和停用Trend Micro XDR解决方案，成功触发文件夹创建，Trend Micro支持团队最终模糊承认文件夹可能由其产品生成。

IT之家 4 月 16 日消息，科技媒体 borncity 今天（4 月 16 日）发布博文，报道称德国 IT 管理员 Christian 发现，其管理的 Windows 客户端系统盘突然出现“C:\virus”的空文件夹，初步怀疑与 Trend Micro 的 Vision One 安全软件有关。

Christian 反馈称该问题最早追溯到 2025 年 4 月 7 日，其公司一名同事在 Windows 客户端的 C 盘根目录下发现了一个名为“virus”的空文件夹。Christian 随即展开调查，试图找出文件夹来源。

公司共使用约 600 台客户端设备，通过 PDQ Connect 网络扫描发现，首批文件夹于 2024 年 4 月 10 日出现在一台设备上，随后零星出现在另外 22 台设备上，但创建模式毫无规律可循。

Christian 的公司使用 Trend Micro 的 Vision One 作为端点安全解决方案，这是一款托管的 XDR（扩展检测与响应）工具。他第一时间向厂商提交支持请求，联系安全运营中心（SOC）。

然而，SOC 回应令人失望，仅表示未检测到网络威胁活动，建议删除空文件夹。Christian 对此答复感到不满，因为文件夹的访问控制列表（ACLs）显示所有者为“本地管理员”组，排除了一般用户恶作剧的可能性。

问题并未就此结束。随后的周末，Christian 检查了所有管理员账户并更换密码，排除域内“黄金票据”（golden ticket）攻击可能。然而，文件夹继续扩散至 30 台设备。

IT 团队尝试删除部分文件夹，却发现某些设备上文件夹会立即重新生成。通过审计策略，Christian 在一台设备上确认文件夹由“coreServiceShell.exe”进程以 SYSTEM 权限创建，而 Trend Micro 承认这是其核心程序进程。

Christian 将最新发现反馈给 Trend Micro，但支持团队起初否认文件夹由其产品创建，声称隔离目录位于“C:\ProgramData\”而非“C:\virus”，并将责任归咎于 PDQ Connect 扫描的 Powershell 脚本。

然而，Christian 在一台客户端上通过激活和停用 Trend Micro XDR 解决方案，成功触发文件夹创建，认为这是“终极证据”。

2025 年 4 月 14 日，Trend Micro 支持团队终于模糊承认文件夹可能由其产品生成，并表示已收到更多类似报告。