Большой вирусный файл с тестовой сигнатурой EICAR, не идентифицированный библиотекой clamav
Если я добавлю тестовую подпись Эйкара в начало большого текстового файла, окажется ли этот файл вредоносным? Я открыл двоичный файл размером 5 МБ на Sublime Text и добавил подпись в начале. При сканировании библиотекой clamav он определил, что это не вредоносный файл. Это с последними определениями вирусов. Благодаря описаниям вирусов, полученным пару дней назад, Clam обнаружил, что этот файл является вирусом.
Покопавшись, я обнаружил, что его нельзя было идентифицировать как вирусный файл. Согласно http://2016.eicar.org/86-0-Intended-use.html , «Первые 68 символов - это известная строка. Она может быть дополнена любой комбинацией пробелов. символов с общей длиной файла, не превышающей 128 символов ».
Поскольку мы не используем подпись eicar, как она предполагалась здесь, мы не можем ожидать согласованного поведения от библиотеки clamav.