【误报漏报样本收集】QVM引擎误报和漏报样本收集专帖

前几天是双击报毒，右键扫描好像不报
wmplayer.exe
现在扫描和双击都报
给看看是不是误报
别人电脑上的，我刚拷贝的
Windows Media Player.zip (1.93 MB)

2018-4-17 10:32 上传

点击文件名下载附件
下载积分: 经验 -1

wmplayer.zip (35.82 KB)

2018-4-17 11:47 上传

点击文件名下载附件
下载积分: 经验 -1

类型:木马-HEUR/Malware.QVM02.Gen
描述:木马是一种伪装成正常文件的恶意软件，会盗取您的帐号、密码等隐私资料。
扫描引擎:云安全引擎
文件路径:C:\Documents and Settings\Administrator\桌面\Windows Media Player\wmplayer.exe
文件大小:72K (73,728 字节)
文件版本:10.00.00.3802
文件描述:Windows Media Player
文件指纹（MD5）:330154bc91fa8e057396aef34c14f2cd
处理建议:隔离文件

游戏主程序误报，360杀毒 安全卫士QVM引擎全报毒（添加白名单也没用）
误报文件：链接: https://pan.baidu.com/s/1dr8_xxfcMKLyk8rav5Ie0g 密码: ytnk游戏是叛逆性百万亚瑟王 PC（桌面）版
误报的是游戏运行的核心文件
误报图：


这两个文件也是上面提到游戏的误报文件的链接:
https://pan.baidu.com/s/1XM7FCc8tuSjA9RerTv_n1g 密码: cy5k
https://pan.baidu.com/s/1eIJJdU1tfqSWcwfRXzsUmA 密码: hcth

https://pan.baidu.com/s/1qUU3k4hAkPFyKUehQEvQPw
帮群用户反馈一下误报，压缩包密码是 360qvm

qwingraph.rar (163.99 KB)

2018-4-26 22:29 上传

点击文件名下载附件
下载积分: 经验 -1

可能为误报。

https://pan.baidu.com/s/1TSHO8WkLQVUgTutc5Y-uQQ
这是旧版小工具的下载链接，解压密码还是 360qvm

链接：https://pan.baidu.com/s/1__aEuUf1jhnJ63hQsyMK8Q 密码：utr2

链接：https://pan.baidu.com/s/1ItgbuMBQaxt6G5bIxLTwQw 密码：c2zl   该文件来自编码器的安装文件应该是误报

PC端游戏为什么会报黑瞳木马变种？

时间        操作        说明        次数
  2018-05-01 11:16:19          [已允许]          发现恶意网络访问          防护 1 次
详细描述：
威胁类型：黑瞳木马变种
IP Port：106.75.33.210:8001

进程：C:\Users\Administrator\Desktop\烈火如歌\lhrg\pc\lhrg.exe

时间        操作        说明        次数
  2018-05-01 11:14:23          [已清除]          发现木马：黑瞳木马变种          防护 1 次
详细描述：
木马名称：黑瞳木马变种
所在路径：C:\Users\Administrator\Desktop\烈火如歌\lhrg\pc\lhrg_Data\Plugins\tolua.dll

误报
https://pan.baidu.com/s/1eES6HuT2H4uCwNfL9hxVHw和https://pan.baidu.com/s/1dDD6KKh都是易语言写的。
请帮忙处理一下。

https://pan.baidu.com/s/1dDD6KKh和https://pan.baidu.com/s/1eES6HuT2H4uCwNfL9hxVHw 误报

误报，请帮忙处理。
pan.baidu.com/s/1eES6HuT2H4uCwNfL9hxVHw和pan.baidu.com/s/1dDD6KKh

通用的一键优化.zip (57.09 KB)

2018-5-2 11:40 上传

点击文件名下载附件
下载积分: 经验 -1

是误报吗？
本来人家是小红伞引擎误报，现在又多了个云QVM
http://bbs.360.cn/thread-15417304-1-1.html


还有一个本来是云拉黑报毒法
现在也是云QVM
http://bbs.360.cn/thread-15417198-1-1.html
QuickMute.zip (42.3 KB)

2018-5-2 11:40 上传

点击文件名下载附件
下载积分: 经验 -1

类型：
HEUR/QVM11.1.E8DF.Malware.Gen

描述：
HEUR/QVM11.1.E8DF.Malware.Gen

扫描引擎：
360云查杀引擎

文件路径：
D:\360安全浏览器下载\QuickMute\nircmd.exe

文件指纹(MD5)：
84d499f558570c32f4cb100a9124890b

类型：
HEUR/QVM11.1.E8DF.Malware.Gen

描述：
HEUR/QVM11.1.E8DF.Malware.Gen

扫描引擎：
360云查杀引擎

文件路径：
D:\360安全浏览器下载\QuickMute.zip

文件指纹(MD5)：
84d499f558570c32f4cb100a9124890b

这个不是误报？ nircmd.zip (41.08 KB)

2018-5-3 13:52 上传

点击文件名下载附件
下载积分: 经验 -1

如果真不是，那就不是吧，反正不是我的文件
--------------------------------------------
编辑

还有这个，扫描的时候没报啊，除了小红伞引擎
下载防护的话就是云QVM了，还没有生效吗？

0.rar (376.04 KB)

2018-5-4 20:53 上传

点击文件名下载附件
下载积分: 经验 -1

解压密码是 infected
漏报

没上报过

QVM报毒.zip (5.33 MB)

2018-5-9 17:06 上传

点击文件名下载附件
下载积分: 经验 -1

这两天一直在反馈一个特殊BUG，文件普通压缩后，再采用.exe自解压压缩，被上传到云端后（自动上传或者手动360闪电云鉴定器上传）会报感染型病毒(Win32/Trojan.fba)，但是偶尔也会有QVM的报毒，这次这个就是


360杀毒扫描日志

病毒库版本：2018-05-08 18:41
扫描时间：2018-05-09 17:10:32
扫描用时：00:00:04
扫描类型：右键扫描
扫描文件总数：9
项目总数：2
清除项目数：0

扫描选项
----------------------
扫描所有文件：是
扫描压缩包：是
发现病毒处理方式：由用户选择处理
扫描磁盘引导区：是
扫描 Rootkit：是
使用云查杀引擎：是
使用QVM人工智能引擎：是
扫描建议修复项：是
常规引擎设置：Avira(小红伞)

扫描内容
----------------------
D:\360安全浏览器下载\QVM报毒.zip


白名单设置
----------------------


扫描结果
======================
高危风险项
----------------------
D:\360安全浏览器下载\QVM报毒.zip=>QVM报毒/winrar.exe        HEUR/QVM10.1.0B7D.Malware.Gen        未处理
D:\360安全浏览器下载\QVM报毒.zip=>QVM报毒/用winrar测试.exe        HEUR/QVM10.1.0B7D.Malware.Gen        未处理

自解压本地QVM防护误报 时间校对1.71.sfx.zip (225.31 KB)

2018-5-11 14:05 上传

点击文件名下载附件
下载积分: 经验 -1

自解压方式压缩的一个正常无毒文件，本地QVM防护误报

360杀毒实时防护日志

时间                    防护说明                                                                  处理结果                                                        文件
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
2018-05-11 13:56:34     恶意软件(QVM41.2.FC41.Malware.Gen)MD5:9a5b31f1177a9ee16a548e7257d029f0    已删除此文件，如果您发现误删，可从隔离区恢复此文件。        d:\360安全浏览器下载\时间校对1.71.sfx.exe

CVE-2016-0189

迅雷.exe和压缩后 迅雷.zip，打包一个文件夹，然后自解压文件，迅雷.exe
云QVM报毒
类似的BUG，前几天已经反馈给 李宜檑
云QVM 迅雷.zip (1.46 MB)

2018-5-11 16:44 上传

点击文件名下载附件
下载积分: 经验 -1

类型:木马-HEUR/QVM41.2.168B.Malware.Gen
描述:木马是一种伪装成正常文件的恶意软件，会盗取您的帐号、密码等隐私资料。
扫描引擎:云安全引擎
文件路径:C:\Documents and Settings\Administrator\桌面\新建文件夹\迅雷.exe
文件大小:1.69M (1,767,922 字节)
文件指纹（MD5）:906ad2ec4558b462d6823cb59c7fb54c
处理建议:隔离文件

漏报webshell，号称过所有。 webshell.zip (27.89 KB)

2018-5-11 22:36 上传

点击文件名下载附件
下载积分: 经验 -1

提示：已成功阻止黑客敲诈盗取钱财。C:\Users\Administrator\Desktop

这就厉害了，还是很不错的

这个病毒之前被QVM报了，现在又不报了，不知道怎么回事
链接：https://pan.baidu.com/s/1rDpyIKbVGR-TImyTCFK2tQ 密码：933q

误报https://pan.baidu.com/s/1NrNmma2SOsJyKu9mmwYYsw

再来一个漏报
链接：https://pan.baidu.com/s/1HWaFpFMs1kUUD3R2911MoA 密码：tnqg

误报
链接：https://pan.baidu.com/s/1ZujcxtEpr1wxqZNpMjL2pQ 密码：vct9
这就是一个音频编辑软件的自解压包，每次打开就会报毒。

只有360三个数字的.txt改成.exe.zip (201.36 KB)

2018-5-14 22:34 上传

点击文件名下载附件
下载积分: 经验 -1

本地QVM防护误报
2018-05-14 22:32:22     恶意软件(QVM41.2.23A5.Malware.Gen)MD5:a84c6784f215722f8495721c1a8284f8    已删除此文件，如果您发现误删，可从隔离区恢复此文件。        c:\documents and settings\administrator\桌面\只有360三个数字的.txt改成.exe.exe

应该是黑客小工具
算不算是漏报
Install_tkz.zip (2.22 MB)

2018-5-16 18:10 上传

点击文件名下载附件
下载积分: 经验 -1

疑似误报，我sas软件的一些文件，用卡巴2018版本扫描不出病毒
怎么加了四个附件不显示的？但是编辑想添加附件的时候又能看到已经加了四个附件