Christian表示，這一問題的發(fā)現(xiàn)可以追溯到2025年4月7日，當(dāng)時公司的一名同事在Windows客戶端的C盤根目錄下偶然發(fā)現(xiàn)了這個名為“virus”的空文件夾。出于職業(yè)的敏感性，Christian立即著手展開調(diào)查，試圖揭開這個神秘文件夾的真面目。

Christian所在的公司擁有約600臺客戶端設(shè)備。通過PDQ Connect網(wǎng)絡(luò)掃描工具，他們發(fā)現(xiàn)這個“virus”文件夾最早在2024年4月10日出現(xiàn)在了一臺設(shè)備上，隨后在另外22臺設(shè)備上陸續(xù)出現(xiàn)。然而，這些文件夾的創(chuàng)建模式似乎毫無規(guī)律可循，給調(diào)查帶來了不小的難度。

值得注意的是，Christian的公司使用的是Trend Micro的Vision One作為端點安全解決方案，這是一款功能強大的托管XDR（擴展檢測與響應(yīng)）工具。在發(fā)現(xiàn)問題后，Christian第一時間向Trend Micro提交了支持請求，并聯(lián)系了安全運營中心（SOC）。然而，SOC的回應(yīng)卻讓他感到失望。SOC表示未檢測到任何網(wǎng)絡(luò)威脅活動，并建議直接刪除這些空文件夾。

但Christian并沒有輕易放棄。他注意到這些文件夾的訪問控制列表（ACLs）顯示所有者為“本地管理員”組，這排除了一般用戶惡作劇的可能性。為了徹底查明真相，Christian檢查了所有管理員賬戶并更換了密碼，以排除域內(nèi)“黃金票據(jù)”攻擊的可能。然而，盡管如此，這些“virus”文件夾仍然繼續(xù)擴散至更多的設(shè)備。

IT團隊嘗試刪除部分文件夾，卻發(fā)現(xiàn)這些文件夾在某些設(shè)備上會立即重新生成。這一奇怪的現(xiàn)象讓Christian更加堅信，背后一定有某種未知的力量在作祟。通過審計策略，Christian終于在一臺設(shè)備上捕捉到了關(guān)鍵線索：這些文件夾是由“coreServiceShell.exe”進程以SYSTEM權(quán)限創(chuàng)建的。而Trend Micro方面隨后也承認，“coreServiceShell.exe”正是其核心程序進程。

這一發(fā)現(xiàn)讓Christian和他的團隊感到震驚和不解。他們難以理解為何Trend Micro的核心程序會創(chuàng)建這些看似惡意的空文件夾。目前，Christian仍在與Trend Micro方面積極溝通，希望盡快找到問題的根源并徹底解決這一安全隱患。