管理员反馈 Win11 系统盘莫名出现 virus 空文件夹，疑与第三方安全软件有关

本站 4 月 16 日消息，科技媒体 borncity 今天（4 月 16 日）发布博文，报道称德国 IT 管理员 Christian 发现，其管理的 Windows 客户端系统盘突然出现“C:virus”的空文件夹，初步怀疑与 Trend Micro 的 Vision One 安全软件有关。

Christian 反馈称该问题最早追溯到 2025 年 4 月 7 日，其公司一名同事在 Windows 客户端的 C 盘根目录下发现了一个名为“virus”的空文件夹。Christian 随即展开调查，试图找出文件夹来源。

公司共使用约 600 台客户端设备，通过 PDQ Connect 网络扫描发现，首批文件夹于 2024 年 4 月 10 日出现在一台设备上，随后零星出现在另外 22 台设备上，但创建模式毫无规律可循。

Christian 的公司使用 Trend Micro 的 Vision One 作为端点安全解决方案，这是一款托管的 XDR（扩展检测与响应）工具。他第一时间向厂商提交支持请求，联系安全运营中心（SOC）。

然而，SOC 回应令人失望，仅表示未检测到网络威胁活动，建议删除空文件夹。Christian 对此答复感到不满，因为文件夹的访问控制列表（ACLs）显示所有者为“本地管理员”组，排除了一般用户恶作剧的可能性。

问题并未就此结束。随后的周末，Christian 检查了所有管理员账户并更换密码，排除域内“黄金票据”（golden ticket）攻击可能。然而，文件夹继续扩散至 30 台设备。

IT 团队尝试删除部分文件夹，却发现某些设备上文件夹会立即重新生成。通过审计策略，Christian 在一台设备上确认文件夹由“coreServiceShell.exe”进程以 SYSTEM 权限创建，而 Trend Micro 承认这是其核心程序进程。

Christian 将最新发现反馈给 Trend Micro，但支持团队起初否认文件夹由其产品创建，声称隔离目录位于“C:ProgramData”而非“C:virus”，并将责任归咎于 PDQ Connect 扫描的 Powershell 脚本。

然而，Christian 在一台客户端上通过激活和停用 Trend Micro XDR 解决方案，成功触发文件夹创建，认为这是“终极证据”。

2025 年 4 月 14 日，Trend Micro 支持团队终于模糊承认文件夹可能由其产品生成，并表示已收到更多类似报告。