Im Gegensatz zu einer älteren Version des On-Access-Scanners kann die neue beispielsweise auch rekursiv Unterverzeichnisse im Blick behalten. Findet das Modul einen Virus, verweigert es den Zugriff auf die Datei. Dabei soll das File-Monitoring-System auch relativ effizient arbeiten. So verarbeitete ClamAV im Test in einer virtuellen Maschine die Status-Updates von etwa 18.000 Verzeichnissen pro Sekunde. Mehr Details sind dem Blog-Eintrag zum On-Access-Scanning zu entnehmen.
Neu im aktuellen ClamAV-Release ist der Support für Malware-Beschreibungen im YARA-Format. Darin lassen sich Muster von Malware im Txt- oder Binärformat beschreiben. Für komplexere Regeln unterstützt YARA auch Wildcards, Regular Expressions und logische Operatoren. Zahlreiche Hersteller von Security-Produkten wie Blue Coat, Symantec und Trend Micro unterstützen YARA. ClamAV verarbeitete YARA-Definitionen, wenn der Administrator sie der ClamAV-Datenbank hinzufügt. Einige Einschränkungen, die es bei der Nutzung von YARA mit ClamAV gibt, dokumentiert der entsprechende Blog-Beitrag. Der Sourcecode von ClamAV 0.99 ist auf http://www.clamav.net/downloads zu finden.
