{"id":310617,"date":"2025-04-16T00:07:03","date_gmt":"2025-04-15T22:07:03","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=310617"},"modified":"2025-04-15T21:19:00","modified_gmt":"2025-04-15T19:19:00","slug":"windows-mysterioeser-ordner-cvirus-trend-micro-beteiligt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/04\/16\/windows-mysterioeser-ordner-cvirus-trend-micro-beteiligt\/","title":{"rendered":"Windows: Mysteri\u00f6ser Ordner C:\\Virus; Trend Micro beteiligt?"},"content":{"rendered":"

\"Windows\"[English<\/a>]Ich stelle mal eine sehr ungew\u00f6hnliche Beobachtung eines Administratoren unter den Blog-Lesern hier im Blog ein. Dieser stellt auf seinen Clients fest, dass \"pl\u00f6tzlich\" ein omin\u00f6ser Ordner c:\\virus auf dem Systemlaufwerk erzeugt wird. Noch ist die Ursache nicht nachgewiesen, aber es deutet einiges auf Trend Micro als Ursache hin. Vielleicht hat noch jemand aus der Leserschaft eine solche Beobachtung gemacht.<\/p>\n

<\/p>\n

Eine Leserbeobachtung zum Ordner C:\\Virus<\/h2>\n

\"\"Blog-Leser Christian P. ist als Administrator in einer Unternehmensumgebung t\u00e4tig und hat mich gerade per Mail \u00fcber eine sehr ungew\u00f6hnliche Beobachtung bei seinem Windows-Clients informiert (danke f\u00fcr die Info). In der IT stehen die Leute vor einem kuriosen Problem und man hofft auf die Schwarmintelligenz der Blog-Leserschaft.<\/p>\n

Pl\u00f6tzlich ein Ordner c:\\virus vorhanden<\/h3>\n

Laut Christian wurde \"vorletzte Woche\" (also so ab ca. 7. April 2025) durch einen Kollegen ein leerer Ordner Namens virus<\/em> direkt unter C:\\ entdeckt. Es l\u00e4sst sich leicht nachvollziehen, dass in der IT sofort alle Alarmglocken anschlugen, und der Leser begab sich auf Ursachenforschung.<\/p>\n

Kein Muster zur Erzeugung erkennbar<\/h3>\n

Ein kurzer Netzwerkscan des Blog-Lesers per PDQ Connect ergab im Unternehmen noch weitere 22 betroffene Clients. Christian schrieb, dass ein detaillierter Report zeigte, dass der erste Ordner am 10.04.2024 auf einem Client erstellt wurde. Die anderen Ordner entstanden immer wieder vereinzelt an anderen Tagen. Insgesamt sind im Unternehmen rund 600 Clients im Einsatz und der Leser konnte kein Muster bei der Erstellung erkennen.<\/p>\n

Trend Micro Vision One im Einsatz<\/h2>\n

Der Leser schrieb, dass man im Unternehmen als Endpoint Security Vision One von Trend Micro im Einsatz habe.\u00a0Da Vision One als Managed XDR L\u00f6sung im Einsatz ist, hat der Leser nat\u00fcrlich als erstes einen Support-Case beim Hersteller erstellt, um das Security Operations Center (SOC) mit einzubinden.<\/p>\n

Security Operations Center (SOC) winkt ab<\/h3>\n

Bei Trend Micro (TM) herrschte nach der Erstellung des Case zun\u00e4chst Funkstille. Nach einer erneuten Nachfrage von Seiten der IT kam dann die R\u00fcckantwort, dass das SOC keine bedrohlichen Aktivit\u00e4ten im Netz feststellen k\u00f6nne und der Ordner gel\u00f6scht werden sollte, da er sowieso leer sei.<\/p>\n

Weitere Analyse durch die IT<\/h3>\n

Christian schrieb, dass er diese Antwort des TM SOC \"irgendwie als unbefriedigend empfindet\", da die ACLs eindeutig die Gruppe \"lokale Administratoren\" als Besitzer des Ordners C:\\virus<\/em> auswiesen.\u00a0Somit kann er ausschlie\u00dfen, dass der Ordner von einem normalen User aus Spa\u00df erstellt wurde.<\/p>\n

Wer erstellt den Ordner?<\/h2>\n

Das folgende Wochenende, schrieb der Blog-Leser, bestand dann darin, alle administrativen Accounts zu pr\u00fcfen und alle Passw\u00f6rter zu \u00e4ndern.\u00a0Es gab auch keine Hinweise auf ein \"golden Ticket\" in der Domain. Da schien also alles sauber zu sein.<\/p>\n

Effekt setzt sich auf weiteren Clients fort<\/h3>\n

Leider setzte sich die Ausbreitung des Ordners in der folgenden Woche auf insgesamt 30 Clients fort, wie der Blog-Leser feststellen musste. An dieser Stelle wurden dann von der IT testweise der Ordner auf einigen Clients gel\u00f6scht.\u00a0Dabei stellten die IT-Mitarbeiter fest, dass auf einigen Ger\u00e4ten der Ordner direkt wieder erstellt wurde.<\/p>\n

Daher wurde auf einem der Clients die Audit Policy aktiviert und es lie\u00df sich nachvollziehen, dass der Ordner, laut Event 4656, von einer coreServiceShell.exe<\/em> mit SYSTEM Rechten erstellt wurde.<\/p>\n

Laut Trend Micro<\/a> ist coreServiceShell.exe der Hauptprozess\u00a0 des Trend Micro Programms. Da winkt der Zaunpfahl mit dem Scheunentor, sagt man doch umgangssprachlich, oder?<\/p><\/blockquote>\n

Trend Micro negiert eigene Produkte als Ursache<\/h3>\n

Daraufhin hat der Blog-Leser Trend Micro mit der neuesten Erkenntnis konfrontiert. Deren Support meinte nur, dass man die Info an einen System Engineer weitergebe. Die schnelle R\u00fcckmeldung am Folgetag lautetet, dass der betroffene Ordner nicht von einem Trend Micro-Produkt angelegt werde. Die von Vision One verwendete Quarantine Directory f\u00e4nde sich in C:\\ProgramData\\<\/em> und nicht unter C:\\virus<\/em>.<\/p>\n

Der Leser berichtete, dass Trend Micro noch einen fast unleserlichen Screenshot mitschickte,\u00a0auf dem das Powershell Script des PDQ Connect Scans des Lesers zu erkennen war. Von Trend Micro wurde zudem behauptetet, dass dieses Script die Ursache der Ordnererstellung sei.<\/p>\n

Einen Client bei frischer Tat erwischt<\/h3>\n

Der Blog-Leser blieb am Problem dran und fand in der Zwischenzeit einen Windows-Client, bei dem er die Erstellung des Ordners C:\\virus<\/em> durch Aktivieren und Deaktivieren der Trend Micro XDR-L\u00f6sung triggern konnte.<\/p>\n

Der Leser betrachtet das f\u00fcr sich \"als ultimativen Beweis\", dass der Ordner durch Trend Micro erstellt wird. Also hat er Trend Micro erneut kontaktiert und um eine Erkl\u00e4rung gebeten, was denn genau auf dem an ihn \u00fcbermittelten Screenshot zu sehen sei. Konkret fragte er, welcher Befehl aus das Powershell Script des PDQ Connect Scans, der im Screenshot zu sehen sei, f\u00fcr die Erstellung des Ordners c:\\Virus<\/em> verantwortlich sein soll.<\/p>\n

Der TM-Support muss ja seine Aussage, dass das Powershell Script des PDQ Connect Scans den Orden erzeugt, begr\u00fcnden und belegen k\u00f6nnen. Der Blog-Leser schrieb mir, dass der Trend Micro-Support wohl Montag, den 14. April 2025, eingelenkt und vage zugegeben habe, dass der Ordner nun doch von deren Produkt erstellt worden sein k\u00f6nnte. Trend Micro habe nun mehr Meldungen \u00fcber solche Vorf\u00e4lle erhalten.<\/p>\n

Gibt es mehr Betroffene?<\/h2>\n

Blog-Leser Christian schrieb, dass sich der gesamte Vorgang sich nun schon \u00fcber 2 Wochen hinzieht und er in dem Fall schon X Stunden versenkt habe. Er ist der\u00a0Meinung, dass es ein ziemlicher Fail von einem SOC und dem Support eines MDR-Anbieters ist, auf den oben skizzierten Fall so zu reagieren und erst einmal \"alles von sich zu weisen und das Problem fadenscheinig einer anderen Software unterzuschieben\".<\/p>\n

H\u00e4tte der Blog-Leser nicht vehement nachgebohrt, w\u00e4re der Support-Case h\u00f6chstwahrscheinlich geschlossen worden, ohne dass irgend jemand dem Problem nachgegangen w\u00e4re.<\/p>\n

Noch ist die endg\u00fcltige Ursache, was den Ordner C:\\virus<\/em> anlegt, unbekannt. Der Blog-Leser fragte mich in seiner Mail, ob es vielleicht noch andere Betroffene unter der Leserschaft gibt und bat, den Fall kurz im Blog einzustellen – was ich hiermit getan habe.\u00a0 Vielleicht kann die\u00a0Schwarmintelligenz der Leserschaft ja das R\u00e4tsel l\u00f6sen.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Ich stelle mal eine sehr ungew\u00f6hnliche Beobachtung eines Administratoren unter den Blog-Lesern hier im Blog ein. Dieser stellt auf seinen Clients fest, dass \"pl\u00f6tzlich\" ein omin\u00f6ser Ordner c:\\virus auf dem Systemlaufwerk erzeugt wird. Noch ist die Ursache nicht nachgewiesen, aber … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4328,4313,3288],"class_list":["post-310617","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheit","tag-virenschutz","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/310617","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=310617"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/310617\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=310617"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=310617"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=310617"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}