Если я добавлю тестовую подпись Eicar в начало большого текстового файла, окажется ли этот файл вредоносным? Я открыл двоичный файл размером 5 МБ на Sublime Text и добавил подпись в начале. При сканировании библиотекой clamav он определил, что это не вредоносный файл. Это с последними определениями вирусов. Благодаря описаниям вирусов, полученным пару дней назад, Clam обнаружил, что этот файл является вирусом.
Покопавшись, я обнаружил, что его нельзя было идентифицировать как вирусный файл. Согласно http://2016.eicar.org/86-0-Intended-use.html, «Первые 68 символов - это известная строка. При желании она может быть дополнена любой комбинацией символов пробела с общей длиной файла, не превышающей 128 символов».
Поскольку мы не используем подпись eicar, как предполагалось здесь, мы не можем ожидать согласованного поведения от библиотеки clamav.