管理員反饋 Win11 系統(tǒng)盤莫名出現(xiàn) virus 空文件夾，疑與第三方安全軟件有關(guān)

IT之家 4 月 16 日消息，科技媒體 borncity 今天（4 月 16 日）發(fā)布博文，報道稱德國 IT 管理員 Christian 發(fā)現(xiàn)，其管理的 Windows 客戶端系統(tǒng)盤突然出現(xiàn)“C:\virus”的空文件夾，初步懷疑與 Trend Micro 的 Vision One 安全軟件有關(guān)。

Christian 反饋稱該問題最早追溯到 2025 年 4 月 7 日，其公司一名同事在 Windows 客戶端的 C 盤根目錄下發(fā)現(xiàn)了一個名為“virus”的空文件夾。Christian 隨即展開調(diào)查，試圖找出文件夾來源。

公司共使用約 600 臺客戶端設(shè)備，通過 PDQ Connect 網(wǎng)絡(luò)掃描發(fā)現(xiàn)，首批文件夾于 2024 年 4 月 10 日出現(xiàn)在一臺設(shè)備上，隨后零星出現(xiàn)在另外 22 臺設(shè)備上，但創(chuàng)建模式毫無規(guī)律可循。

Christian 的公司使用 Trend Micro 的 Vision One 作為端點安全解決方案，這是一款托管的 XDR（擴展檢測與響應(yīng)）工具。他第一時間向廠商提交支持請求，聯(lián)系安全運營中心（SOC）。

然而，SOC 回應(yīng)令人失望，僅表示未檢測到網(wǎng)絡(luò)威脅活動，建議刪除空文件夾。Christian 對此答復(fù)感到不滿，因為文件夾的訪問控制列表（ACLs）顯示所有者為“本地管理員”組，排除了一般用戶惡作劇的可能性。

問題并未就此結(jié)束。隨后的周末，Christian 檢查了所有管理員賬戶并更換密碼，排除域內(nèi)“黃金票據(jù)”（golden ticket）攻擊可能。然而，文件夾繼續(xù)擴散至 30 臺設(shè)備。

IT 團隊嘗試刪除部分文件夾，卻發(fā)現(xiàn)某些設(shè)備上文件夾會立即重新生成。通過審計策略，Christian 在一臺設(shè)備上確認文件夾由“coreServiceShell.exe”進程以 SYSTEM 權(quán)限創(chuàng)建，而 Trend Micro 承認這是其核心程序進程。

Christian 將最新發(fā)現(xiàn)反饋給 Trend Micro，但支持團隊起初否認文件夾由其產(chǎn)品創(chuàng)建，聲稱隔離目錄位于“C:\ProgramData\”而非“C:\virus”，并將責(zé)任歸咎于 PDQ Connect 掃描的 Powershell 腳本。

然而，Christian 在一臺客戶端上通過激活和停用 Trend Micro XDR 解決方案，成功觸發(fā)文件夾創(chuàng)建，認為這是“終極證據(jù)”。

2025 年 4 月 14 日，Trend Micro 支持團隊終于模糊承認文件夾可能由其產(chǎn)品生成，并表示已收到更多類似報告。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。