Windows Sistemlerinde Gizemli “C:\Virus” Klasörü – Trend Micro Mu Sorumlu?
Bazı Windows istemcilerinde sistem diskinin kök dizininde kendiliğinden oluşan “C:\virus” adlı klasör, IT yöneticilerinin dikkatini çekti. Klasörün nasıl ve neden oluştuğu henüz netleşmemişken, Trend Micro güvenlik yazılımı bu olayın muhtemel sorumlusu olarak öne çıkıyor.
Bir Yöneticinin Tespitiyle Ortaya Çıktı
Kurumsal bir ortamda sistem yöneticisi olarak çalışan bir IT yöneticisi 7 Nisan 2025 civarında bir çalışanın bilgisayarında “C:\virus” adında boş bir klasör keşfettiğini ve bunun ardından detaylı bir incelemeye başladıklarını aktardı. PDQ Connect aracılığıyla yapılan taramada, toplamda 22 istemcide daha aynı klasör bulundu. Şirkette yaklaşık 600 istemci olduğu göz önüne alındığında, bu sayı ciddi bir endişeye neden oldu.
Trend Micro İlgili Olabilir mi?
Şirketin uç nokta güvenliği için Trend Micro Vision One (XDR) çözümünü kullandığını belirten yönetici, ilk olarak üreticiyle iletişime geçerek destek talebinde bulundu. Ancak Trend Micro, ilk etapta ağda herhangi bir tehdit algılanmadığını, klasörün boş olduğunu ve silinebileceğini belirterek konuyu kapatmak istedi.
Ancak yapılan analizlerde klasörün erişim kontrol listelerinde (ACL) local administrators grubuna ait olduğu ortaya çıktı. Bu durum, klasörün sıradan bir kullanıcı tarafından oluşturulmuş olamayacağını gösteriyordu.
Klasör Silinse de Tekrar Oluşuyor
IT ekibi bazı istemcilerde klasörü silmeyi denedi. Ancak kısa süre içinde klasörün otomatik olarak tekrar oluşturulduğu gözlemlendi. Bu durum üzerine olay günlüğü (event log) analizine geçildi. 4656 numaralı olay kaydı, klasörün coreServiceShell.exe adlı bir süreç tarafından SYSTEM yetkileriyle oluşturulduğunu ortaya koydu. Trend Micro dökümantasyonuna göre coreServiceShell.exe, Vision One ürününün ana servisi.
Trend Micro: “Bizimle İlgili Değil”
Trend Micro, gelen bulgulara rağmen bu klasörün kendi ürünü tarafından oluşturulmadığını, Vision One’ın karantina klasörünün “C:\ProgramData” altında bulunduğunu belirtti. Ayrıca yöneticinin tarama için kullandığı PowerShell betiğini işaret ederek klasörün onun tarafından oluşturulmuş olabileceğini öne sürdü.
Son Kanıt: Klasör, Trend Micro Devreye Alınınca Oluşuyor
Ancak sistem yöneticisi araştırmayı bırakmadı. Bir istemci üzerinde Trend Micro XDR’yi etkinleştirip devre dışı bırakarak klasörün yalnızca bu işlem sonucunda oluştuğunu gözlemledi. Bu durum, yazılımın gerçekten de klasörü oluşturduğunun “nihai kanıtı” olarak değerlendirildi.
14 Nisan 2025 tarihinde Trend Micro’dan gelen yanıt, önceki inkarların aksine, klasörün kendi yazılımları tarafından oluşturulmuş olabileceğini “belirsiz” şekilde kabul etti. Firmanın başka kullanıcılardan da benzer bildirimler aldığı belirtildi.
Daha Fazla Kullanıcı Etkilenmiş Olabilir!
Şuan için klasörü tam olarak neyin oluşturduğu hala kesin olarak bilinmiyor.
