$ sigtool --find-sigs PUA.Win.Exploit.CVE_2012_1461-1 | sigtool --decode-sigs
先頭から0バイト目が「0x1f 0x8b 任意のバイト列 0x1f 0x8b」になってるのを検出してる
0x1f 0x8bってのはgzipのマジックナンバー
つまりgzipの中にさらにgzipが入ってるようなのが検出される

PUAってのはhttps://www.clamav.net/documents/potentially-unwanted-applications-pua

権限に関しては自分のアカウントでreadする権限のないファイルのスキャンとかリアルタイムスキャンとかするためには必要
自分のファイルを自分でスキャンするだけなら不要

rootで動かすのはどうなのってのは確かにclamavとかは要は「不審なファイルをチェックする」わけだから例えばclamavにバグが有ってその不審なファイルによってそれを攻撃された場合はよろしく無い
ただ複数人で使うサーバーとかじゃなくて個人一人で使う分には只の一般ユーザーがだろうがrootだろうがどっちがクラックされようが被害は実質同じだから過度に気にしなくても良い