[English]Ich stelle mal eine sehr ungewöhnliche Beobachtung eines Administratoren unter den Blog-Lesern hier im Blog ein. Dieser stellt auf seinen Clients fest, dass „plötzlich“ ein ominöser Ordner c:\virus auf dem Systemlaufwerk erzeugt wird. Noch ist die Ursache nicht nachgewiesen, aber es deutet einiges auf Trend Micro als Ursache hin. Vielleicht hat noch jemand aus der Leserschaft eine solche Beobachtung gemacht.
Eine Leserbeobachtung zum Ordner C:\Virus
Blog-Leser Christian P. ist als Administrator in einer Unternehmensumgebung tätig und hat mich gerade per Mail über eine sehr ungewöhnliche Beobachtung bei seinem Windows-Clients informiert (danke für die Info). In der IT stehen die Leute vor einem kuriosen Problem und man hofft auf die Schwarmintelligenz der Blog-Leserschaft.
Plötzlich ein Ordner c:\virus vorhanden
Laut Christian wurde „vorletzte Woche“ (also so ab ca. 7. April 2025) durch einen Kollegen ein leerer Ordner Namens virus direkt unter C:\ entdeckt. Es lässt sich leicht nachvollziehen, dass in der IT sofort alle Alarmglocken anschlugen, und der Leser begab sich auf Ursachenforschung.
Kein Muster zur Erzeugung erkennbar
Ein kurzer Netzwerkscan des Blog-Lesers per PDQ Connect ergab im Unternehmen noch weitere 22 betroffene Clients. Christian schrieb, dass ein detaillierter Report zeigte, dass der erste Ordner am 10.04.2024 auf einem Client erstellt wurde. Die anderen Ordner entstanden immer wieder vereinzelt an anderen Tagen. Insgesamt sind im Unternehmen rund 600 Clients im Einsatz und der Leser konnte kein Muster bei der Erstellung erkennen.
Trend Micro Vision One im Einsatz
Der Leser schrieb, dass man im Unternehmen als Endpoint Security Vision One von Trend Micro im Einsatz habe. Da Vision One als Managed XDR Lösung im Einsatz ist, hat der Leser natürlich als erstes einen Support-Case beim Hersteller erstellt, um das Security Operations Center (SOC) mit einzubinden.
Security Operations Center (SOC) winkt ab
Bei Trend Micro (TM) herrschte nach der Erstellung des Case zunächst Funkstille. Nach einer erneuten Nachfrage von Seiten der IT kam dann die Rückantwort, dass das SOC keine bedrohlichen Aktivitäten im Netz feststellen könne und der Ordner gelöscht werden sollte, da er sowieso leer sei.
Weitere Analyse durch die IT
Christian schrieb, dass er diese Antwort des TM SOC „irgendwie als unbefriedigend empfindet“, da die ACLs eindeutig die Gruppe „lokale Administratoren“ als Besitzer des Ordners C:\virus auswiesen. Somit kann er ausschließen, dass der Ordner von einem normalen User aus Spaß erstellt wurde.
Wer erstellt den Ordner?
Das folgende Wochenende, schrieb der Blog-Leser, bestand dann darin, alle administrativen Accounts zu prüfen und alle Passwörter zu ändern. Es gab auch keine Hinweise auf ein „golden Ticket“ in der Domain. Da schien also alles sauber zu sein.
Effekt setzt sich auf weiteren Clients fort
Leider setzte sich die Ausbreitung des Ordners in der folgenden Woche auf insgesamt 30 Clients fort, wie der Blog-Leser feststellen musste. An dieser Stelle wurden dann von der IT testweise der Ordner auf einigen Clients gelöscht. Dabei stellten die IT-Mitarbeiter fest, dass auf einigen Geräten der Ordner direkt wieder erstellt wurde.
Daher wurde auf einem der Clients die Audit Policy aktiviert und es ließ sich nachvollziehen, dass der Ordner, laut Event 4656, von einer coreServiceShell.exe mit SYSTEM Rechten erstellt wurde.
Laut Trend Micro ist coreServiceShell.exe der Hauptprozess des Trend Micro Programms. Da winkt der Zaunpfahl mit dem Scheunentor, sagt man doch umgangssprachlich, oder?
Trend Micro negiert eigene Produkte als Ursache
Daraufhin hat der Blog-Leser Trend Micro mit der neuesten Erkenntnis konfrontiert. Deren Support meinte nur, dass man die Info an einen System Engineer weitergebe. Die schnelle Rückmeldung am Folgetag lautetet, dass der betroffene Ordner nicht von einem Trend Micro-Produkt angelegt werde. Die von Vision One verwendete Quarantine Directory fände sich in C:\ProgramData\ und nicht unter C:\virus.
Der Leser berichtete, dass Trend Micro noch einen fast unleserlichen Screenshot mitschickte, auf dem das Powershell Script des PDQ Connect Scans des Lesers zu erkennen war. Von Trend Micro wurde zudem behauptetet, dass dieses Script die Ursache der Ordnererstellung sei.
Einen Client bei frischer Tat erwischt
Der Blog-Leser blieb am Problem dran und fand in der Zwischenzeit einen Windows-Client, bei dem er die Erstellung des Ordners C:\virus durch Aktivieren und Deaktivieren der Trend Micro XDR-Lösung triggern konnte.
Der Leser betrachtet das für sich „als ultimativen Beweis“, dass der Ordner durch Trend Micro erstellt wird. Also hat er Trend Micro erneut kontaktiert und um eine Erklärung gebeten, was denn genau auf dem an ihn übermittelten Screenshot zu sehen sei. Konkret fragte er, welcher Befehl aus das Powershell Script des PDQ Connect Scans, der im Screenshot zu sehen sei, für die Erstellung des Ordners c:\Virus verantwortlich sein soll.
Der TM-Support muss ja seine Aussage, dass das Powershell Script des PDQ Connect Scans den Orden erzeugt, begründen und belegen können. Der Blog-Leser schrieb mir, dass der Trend Micro-Support wohl Montag, den 14. April 2025, eingelenkt und vage zugegeben habe, dass der Ordner nun doch von deren Produkt erstellt worden sein könnte. Trend Micro habe nun mehr Meldungen über solche Vorfälle erhalten.
Gibt es mehr Betroffene?
Blog-Leser Christian schrieb, dass sich der gesamte Vorgang sich nun schon über 2 Wochen hinzieht und er in dem Fall schon X Stunden versenkt habe. Er ist der Meinung, dass es ein ziemlicher Fail von einem SOC und dem Support eines MDR-Anbieters ist, auf den oben skizzierten Fall so zu reagieren und erst einmal „alles von sich zu weisen und das Problem fadenscheinig einer anderen Software unterzuschieben“.
Hätte der Blog-Leser nicht vehement nachgebohrt, wäre der Support-Case höchstwahrscheinlich geschlossen worden, ohne dass irgend jemand dem Problem nachgegangen wäre.
Noch ist die endgültige Ursache, was den Ordner C:\virus anlegt, unbekannt. Der Blog-Leser fragte mich in seiner Mail, ob es vielleicht noch andere Betroffene unter der Leserschaft gibt und bat, den Fall kurz im Blog einzustellen – was ich hiermit getan habe. Vielleicht kann die Schwarmintelligenz der Leserschaft ja das Rätsel lösen.
So ähnlich wie
cd %virus%
c:\windows
Der letzte mysteriöse Ordner und auch sehr lustig war der hier:
„Don’t delete that mystery empty folder. Windows put it there as a secuity fix“
https://www.theregister.com/2025/04/14/windows_update_inetpub/
den Beitrag zum Ordner inetpub samt Leserhinweisen findet sich auch hier Windows 10/11: April 2025-Updates legen Ordner „inetpub“ an/
Der Fall ist imho aber anders gelagert, der Ordner kommt durchgängig mit den April 2025-Updates – in obigem Fall gibt es Zufalls-Funde des Ordners.
Panda macht was ähnliches durch die Erstellung von WGUA.bin Ordnern, diese sind allerdings versteckt und daher ohne die explizite Anzeige von versteckten Ordner nicht zu sehen. In den Ordnern liegen dann diverse Fake Files und sollte diese geändert oder gelöscht werden, schlägt der Ransomeware Alarm an.
Ächz, jetzt hast du’s verraten …war doch so eine geniale Idee, um Malware in die Falle zu locken. Jetzt, wo es im Netz steht, wird jede Ransomware einen großen Bogen um diesen Ordner machen und bloß den Rest ungestört verschlüsseln.
(Auf welche platten Ideen die Macher von Sicherheitssoftware doch kommen. Nächster Sicherheitspatch: Windows Defender erzeugt eine Datei mit den Titel „Wer hier was reinschreibt ist böse.txt“ und legt sich auf die Lauer.)
:D bester Kommentar seit langem
Der Admin könnte einmal den Object Access monitoren (Local Policy -> Audit Policy -> Audit object access) und dann nach EventID 4656 filtern.
Da düfte mWn sogar der Prozess drin stehen.
Hallo Henry,
Danke für den Hinweis.
Genau das hatte ich auf einem der betroffenen Clients gemacht und dabei eben die „coreServiceShell.exe“ von TM als Prozess im Event gesehen.
Wir haben das selbe Phänomen bei unseren Clients!
Mit Hilfe von Sysmon habe ich ebenfalls herausgefunden, das
C:\Program Files\Trend Micro\AMSP\coreServiceShell.exe
den Ordner erstellt. Nach einem manuellen Löschen taucht dieser nach einiger Zeit wieder auf.
Hab irgendwie noch im Gedächtnis, dass man bei Trend Micro einstellen kann, wohin evtl. Viren-Funde vor dem Löschen gesichert werden sollen. Vielleicht verweist die TM Vision One Konfig bei Christian ja auf C:\Virus?
Bei uns passiert nichts dergleichen. Wir nutzen auf allen Servern und Clients die Server & Workload Protection und installieren im Regelfall über das Powershell-Skript aus dem Endpoint Inventory. Bei der Migration haben, falls es Probleme mit Skript gab, auch ab und an den Offline-Installer eingesetzt.
Weder beim Deaktivieren, Reaktivieren oder Policy-Wechsel passiert irgendetwas in dieser Art.
Ich habe soeben ca. 300 Clients bei uns abgefragt, bei 62 ist der Ordner vorhanden. Außerdem habe ich ein Ticket bei Trend Micro eröffnet und habe folgende Rückmeldung erhalten:
We have received reports of this and it is currently under investigation, I will update you once there is a conclusion drawn.
What we know so far is that it was created by the AMSP module and does not seem to have an impact on workings.
Naja nen Virus/Malware selbst wird es kaum sein… die versuchen sich eher zu verstecken als so prominent unter C:/ auf sich aufmerksam zu machen!