IT之家 4 月 16 日消息,科技媒体 borncity 今天(4 月 16 日)发布博文,报道称德国 IT 管理员 Christian 发现,其管理的 Windows 客户端系统盘突然出现“C:virus”的空文件夹,初步怀疑与 Trend Micro 的 Vision One 安全软件有关。
Christian 反馈称该问题最早追溯到 2025 年 4 月 7 日,其公司一名同事在 Windows 客户端的 C 盘根目录下发现了一个名为“virus”的空文件夹。Christian 随即展开调查,试图找出文件夹来源。
公司共使用约 600 台客户端设备,通过 PDQ Connect 网络扫描发现,首批文件夹于 2024 年 4 月 10 日出现在一台设备上,随后零星出现在另外 22 台设备上,但创建模式毫无规律可循。
Christian 的公司使用 Trend Micro 的 Vision One 作为端点安全解决方案,这是一款托管的 XDR(扩展检测与响应)工具。他第一时间向厂商提交支持请求,联系安全运营中心(SOC)。
然而,SOC 回应令人失望,仅表示未检测到网络威胁活动,建议删除空文件夹。Christian 对此答复感到不满,因为文件夹的访问控制列表(ACLs)显示所有者为“本地管理员”组,排除了一般用户恶作剧的可能性。
问题并未就此结束。随后的周末,Christian 检查了所有管理员账户并更换密码,排除域内“黄金票据”(golden ticket)攻击可能。然而,文件夹继续扩散至 30 台设备。
IT 团队尝试删除部分文件夹,却发现某些设备上文件夹会立即重新生成。通过审计策略,Christian 在一台设备上确认文件夹由“coreServiceShell.exe”进程以 SYSTEM 权限创建,而 Trend Micro 承认这是其核心程序进程。
Christian 将最新发现反馈给 Trend Micro,但支持团队起初否认文件夹由其产品创建,声称隔离目录位于“C:ProgramData”而非“C:virus”,并将责任归咎于 PDQ Connect 扫描的 Powershell 脚本。
然而,Christian 在一台客户端上通过激活和停用 Trend Micro XDR 解决方案,成功触发文件夹创建,认为这是“终极证据”。
2025 年 4 月 14 日,Trend Micro 支持团队终于模糊承认文件夹可能由其产品生成,并表示已收到更多类似报告。
0 条