【误报漏报样本收集】QVM引擎误报和漏报样本收集专帖

楼主您好！
我在学习batch的时候，即使有数字签名也误报了一大堆程序，比如今天做的程序，bat源代码如下：

1. @echo off
   
2. title 白云虚拟盘 程序
   
3. color 2f
   
4. set /p diskin=<diskid.ini
   
5. 
   
6. :start
   
7. if %~1==pcstart goto pcstart
   
8. if not %~1==pc start goto regularstart
   
9. 
   
10. :ok
    
11. echo 虚拟盘已创建或被占用，按任意键关闭。
    
12. pause>nul
    
13. subst V: /d
    
14. if exist V:\ echo 无法关闭虚拟盘。 & ping -n 3 127.0.0.1>nul && exit
    
15. if not V:\ goto off
    
16. 
    
17. :off
    
18. echo 关闭成功
    
19. ping -n 3 127.0.0.1 >nul
    
20. goto start
    
21. 
    
22. :pcstart
    
23. if %diskid%== exit
    
24. if not %diskid%==subst V: %diskin%
    
25. exit
    
26. 
    
27. :regularstart
    
28. reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /v bydisk /t reg_sz /d %0 pcstart /f
    
29. if exist V:\ goto ok
    
30. echo 虚拟盘创建在哪个盘？
    
31. set /p diskid=
    
32. echo %diskid%>diskid.ini
    
33. if not exist %diskin:~0,1%\bydisk md %diskin:~0,1%\bydisk
    
34. if exist %diskin:~0,1%\bydisk subst V: %diskin:~0,1%\bydisk
    
35. goto ok

复制代码

用了 bat to exe Converter 转换，还签名了，360也开启了开发者模式，但它还是说这是病毒木马，后面我又重新下载，它又说有强力木马感染电脑...

360工程师们，你们好，这是我们开发的软件邮掌柜，也签名了，360杀毒扫描也是安全的。就是在安装过程中出现 360安全卫士 报警，YZGMate.exe是该软件中的一个守护进程，需要开机启动，并不是病毒或木马，可能是最近刚更换新的签名，安全卫士出现了误报。希望360的工程师们可以解决。

之前都不报毒，后面莫名其妙的被QVM报毒了。。 QQ聊天记录隐私处理工具.zip (411.52 KB)

2017-7-7 17:05 上传

点击文件名下载附件
下载积分: 经验 -1

麻烦360工程师们回复一下，该软件经360杀毒软件查杀无毒，但安装的时候提示“这是敲诈病毒，会勒索您的钱财”
该软件是一个辅助图片处理工具，为什么会有这样的提示，请问360这样提示的依据是什么？

软件：https://pan.baidu.com/s/1kVpvywZ


提示截图：

360自动防护QVM检测报毒 手动扫描未发现威胁 希望知道是否有病毒 谢谢
http://pan.baidu.com/s/1pL19QxP

自动防护QVM检测出病毒 手动扫描未发现威胁 请查看是否存在病毒
http://pan.baidu.com/s/1pL19QxP

（代发）疑似QVM误报的文件 找MP4地址.rar (386.52 KB)

2017-7-11 08:12 上传

点击文件名下载附件
下载积分: 经验 -1

疑似QVM误报
http://pan.baidu.com/s/1pKB3p1L

疑似误报，发到这帖里了：
http://bbs.360.cn/thread-15082406-1-1.html

http://bbs.kafan.cn/thread-2096150-1-1.html
看看这个

https://www.virustotal.com/zh-cn/file/4cd26a9cf6a34180fc3864e0a0d6b27af6308aa43ede4f4470c195f8abdf4131/analysis/      检出率:28/63 PanDownload 这个是一个百度云的文件下载器! 我估计有上万个人在用! 因为下载器的qq群已经有2000人! 原文件: 链接: https://pan.baidu.com/s/1jHWCjS6 密码: prk8   (可能已加壳) 直接扫描可能扫不出!打开后...检出率:28/63 提取出来的病毒: 链接: https://pan.baidu.com/s/1qYwiyMK 密码: ysnb  (我上报后费尔也杀!!!) 报:   =木马!基因= ------------------------------------------------

漏报链接: https://pan.baidu.com/s/1jIh1LL8 密码: r66m

误报
链接: https://pan.baidu.com/s/1jIh1LL8 密码: r66m

漏报: https://pan.baidu.com/s/1qY3AixI 密码: 82pe

漏报链接: https://pan.baidu.com/s/1qY3AixI 密码: 82pe

漏报链接: https://pan.baidu.com/s/1qY3AixI 密码: 82pe

360工程师们：
您们好，我们公司软件《三维家辅助工具》，被误报含木马，请贵司审核，谢谢！
软件安装包：pan.baidu.com/s/1pLjZtOJ。

1、安装软件后，点击离线登录；
2、点击用户菜单，进行“设置”；
3、在设置面板进入“插件下载”；
4、下载3Dmax插件（过程可能有点慢，要稍等一会），下载完成后，我们程序会自动将插件包解压，并复制到：C:\Program Files\Autodesk\3ds Max 2014\scripts，在这个过程中，被误报木马。




3Dmaxs插件地址：pan.baidu.com/s/1i5uvaUp

漏报
解压密码是  infected
1.zip (34.68 KB)

2017-7-28 20:03 上传

点击文件名下载附件
下载积分: 经验 -1

Client.zip (7.82 MB)

2017-7-29 21:04 上传

点击文件名下载附件
下载积分: 经验 -1

文件的病毒级别不太高
希望继续拉黑

误报http://pan.baidu.com/s/1bMegLg

快递公司使用的E3快递系统被误报pan.baidu.com/s/1kUGwrqB 密码：c9zp

2X.rar (555 KB)

2017-8-1 11:39 上传

点击文件名下载附件
下载积分: 经验 -1

误报两枚

已处理完成，感谢师兄。

安装包下载完成立刻报毒，被隔离。

安装包下载完成立刻报毒，被隔离。
安装包地址  app.shenshuo.net/device.html

https://share.weiyun.com/3e4c03a2b39a8d1f937c6c06d5655794
后门木马和配合辅助dll,破坏计算机！全部加壳的！

Autorun-nat.rar (990 Bytes)

2017-8-8 13:26 上传

点击文件名下载附件
下载积分: 经验 -1

QVM云特征引擎又抽风了，这个文件有时报毒，有时又不报。应该是误报吧？

漏报。链接: http://pan.baidu.com/s/1geHlacr 密码: 3gnv

误报  链接: http://pan.baidu.com/s/1eRJpiRg 密码: htdk
         链接: http://pan.baidu.com/s/1geJTdZ1 密码: 9qbr

WIN10 中了鬼影。目前无法清除，无法杀毒，无法更新系统。