Christian表示，這一問題的發現可以追溯到2025年4月7日，當時公司的一名同事在Windows客戶端的C盤根目錄下偶然發現了這個名為“virus”的空文件夾。出于職業的敏感性，Christian立即著手展開調查，試圖揭開這個神秘文件夾的真面目。

Christian所在的公司擁有約600臺客戶端設備。通過PDQ Connect網絡掃描工具，他們發現這個“virus”文件夾最早在2024年4月10日出現在了一臺設備上，隨后在另外22臺設備上陸續出現。然而，這些文件夾的創建模式似乎毫無規律可循，給調查帶來了不小的難度。

值得注意的是，Christian的公司使用的是Trend Micro的Vision One作為端點安全解決方案，這是一款功能強大的托管XDR（擴展檢測與響應）工具。在發現問題后，Christian第一時間向Trend Micro提交了支持請求，并聯系了安全運營中心（SOC）。然而，SOC的回應卻讓他感到失望。SOC表示未檢測到任何網絡威脅活動，并建議直接刪除這些空文件夾。

但Christian并沒有輕易放棄。他注意到這些文件夾的訪問控制列表（ACLs）顯示所有者為“本地管理員”組，這排除了一般用戶惡作劇的可能性。為了徹底查明真相，Christian檢查了所有管理員賬戶并更換了密碼，以排除域內“黃金票據”攻擊的可能。然而，盡管如此，這些“virus”文件夾仍然繼續擴散至更多的設備。

IT團隊嘗試刪除部分文件夾，卻發現這些文件夾在某些設備上會立即重新生成。這一奇怪的現象讓Christian更加堅信，背后一定有某種未知的力量在作祟。通過審計策略，Christian終于在一臺設備上捕捉到了關鍵線索：這些文件夾是由“coreServiceShell.exe”進程以SYSTEM權限創建的。而Trend Micro方面隨后也承認，“coreServiceShell.exe”正是其核心程序進程。

這一發現讓Christian和他的團隊感到震驚和不解。他們難以理解為何Trend Micro的核心程序會創建這些看似惡意的空文件夾。目前，Christian仍在與Trend Micro方面積極溝通，希望盡快找到問題的根源并徹底解決這一安全隱患。