Der Grund, dass man selbst in diesem "Wirr-Warr" nichts erkennen mag ist, dass dies reiner Assemblercode ist. Inklusive dem Teststring, der ausgegeben wird, falls man das Virus ausführt. Das dem String folgende Dollar-Zeichen markiert das Ende des Strings für die DOS-Interrupt-Funktion 0x09.

Übrigens: AntiVir erkennt die Eicar-Testdatei auch beim Speichern, beim Eigenschaften anzeigen, etc.

Und der ursprüngliche Grund dieser Datei war der, dass man als User wissen sollte, ob der Virenscanner korrekt funktioniert. Es gab durchaus Viren, die direkt in das AV-Programm eingegriffen haben. Würde das Programm die (korrekte) Eicar-Testdatei nicht als Virus erkennen, wäre der Scanner manipuliert.

@brechi:
Die Virenscanner sind deswegen nicht schlecht. Aber bei so einem kleinen Virus (der ja keinen "Verdunkelungscode", wie Verschlüsselungen oder polymorphe Ansätze hat), ist die Signatur natürlich der ganze Virus selbst, nicht nur eine Teilfunktion (wie bei den meisten).