Not detected at 0, moving forward.

...

Not detected, moving backward 27866 -> 27816

ERROR: Generated signature is too big.

То есть сигнатура получилась больше, чем рекомендуемые 40... 200 символов. В этом случае в документе показано, как вручную найти нужную сигнатуру, но для этого как минимум необходимо немного знать что-то о вирусе. Этот вирус, например, переименовывает файлы и создает в системном каталоге файл mc42.exe. Поэтому при помощи Midnight Commander, или дав такую команду:

# strings test.exe | less

или двоичный дамп для анализа:

#cat  test.exe  | sigtool --hex-dump > virus.sig

а лучше, воспользовавшись двоичным редактором, находим специфические для данного вируса строки (рис. 1) и заносим их в отдельный файл. Но этот метод хоть интересен и работает на ура, мне созданная таким образом сигнатура позволила найти все файлы на зараженном компакте, в том числе и упрятанные в архив (куда не смог заглянуть Dr.Web), но все-таки этот процесс может занять значительный промежуток времени, особенно при большом исходном файле. Можно попробовать разбить исходный файл на меньшие по размеру, в котором(ых) внешний антивирус будет еще находить вирус, и затем повторить операцию. Разбить файл на части можно, воспользовавшись, например, split. Мне удалось, немного повозившись, создать такой файл в 10 Кб и в результате:

# sigtool -c "drweb" -f  -f  /home/sergej/work/xaf -s "Win32.HLLP.Underscore.36864"

The scanner was executed 26 times.

The signature length is 54 (108 hex)

Saving signature in /home/sergej/work/xaf.sig file.

Saving binary signature in /home/sergej/work/xaf.bsig file.

В результате в файле xaf.sig будет примерно такая строка.

433A5C57494E444F57530000433A5C00583A00007700000072000000534F4654574152455C4D 6963726F66745C576E5C52756E0000005C0000006D6334322E6578650000

Добавляем в ее начало:

Win32.HLLP.Underscore.36864 (Clam)=