Christian表示，這一問(wèn)題的發(fā)現(xiàn)可以追溯到2025年4月7日，當(dāng)時(shí)公司的一名同事在Windows客戶端的C盤(pán)根目錄下偶然發(fā)現(xiàn)了這個(gè)名為“virus”的空文件夾。出于職業(yè)的敏感性，Christian立即著手展開(kāi)調(diào)查，試圖揭開(kāi)這個(gè)神秘文件夾的真面目。

Christian所在的公司擁有約600臺(tái)客戶端設(shè)備。通過(guò)PDQ Connect網(wǎng)絡(luò)掃描工具，他們發(fā)現(xiàn)這個(gè)“virus”文件夾最早在2024年4月10日出現(xiàn)在了一臺(tái)設(shè)備上，隨后在另外22臺(tái)設(shè)備上陸續(xù)出現(xiàn)。然而，這些文件夾的創(chuàng)建模式似乎毫無(wú)規(guī)律可循，給調(diào)查帶來(lái)了不小的難度。

值得注意的是，Christian的公司使用的是Trend Micro的Vision One作為端點(diǎn)安全解決方案，這是一款功能強(qiáng)大的托管XDR（擴(kuò)展檢測(cè)與響應(yīng)）工具。在發(fā)現(xiàn)問(wèn)題后，Christian第一時(shí)間向Trend Micro提交了支持請(qǐng)求，并聯(lián)系了安全運(yùn)營(yíng)中心（SOC）。然而，SOC的回應(yīng)卻讓他感到失望。SOC表示未檢測(cè)到任何網(wǎng)絡(luò)威脅活動(dòng)，并建議直接刪除這些空文件夾。

但Christian并沒(méi)有輕易放棄。他注意到這些文件夾的訪問(wèn)控制列表（ACLs）顯示所有者為“本地管理員”組，這排除了一般用戶惡作劇的可能性。為了徹底查明真相，Christian檢查了所有管理員賬戶并更換了密碼，以排除域內(nèi)“黃金票據(jù)”攻擊的可能。然而，盡管如此，這些“virus”文件夾仍然繼續(xù)擴(kuò)散至更多的設(shè)備。

IT團(tuán)隊(duì)嘗試刪除部分文件夾，卻發(fā)現(xiàn)這些文件夾在某些設(shè)備上會(huì)立即重新生成。這一奇怪的現(xiàn)象讓Christian更加堅(jiān)信，背后一定有某種未知的力量在作祟。通過(guò)審計(jì)策略，Christian終于在一臺(tái)設(shè)備上捕捉到了關(guān)鍵線索：這些文件夾是由“coreServiceShell.exe”進(jìn)程以SYSTEM權(quán)限創(chuàng)建的。而Trend Micro方面隨后也承認(rèn)，“coreServiceShell.exe”正是其核心程序進(jìn)程。

這一發(fā)現(xiàn)讓Christian和他的團(tuán)隊(duì)感到震驚和不解。他們難以理解為何Trend Micro的核心程序會(huì)創(chuàng)建這些看似惡意的空文件夾。目前，Christian仍在與Trend Micro方面積極溝通，希望盡快找到問(wèn)題的根源并徹底解決這一安全隱患。