Стало быть, не хотите читать. Или нет времени.
Тогда коротко и своими словами.
Вот у вас в сенях за дверью лежит топор. Вы станете с криками его выкидывать во двор, только потому что им можно зарубить кого-либо, кого рубить не стоило бы?
А если топор окажется в руках разъярённого человека, который размахивая им мчит на вас, а у вас по случаю, оказалось заряженное ружье?
Вот так и в совр. антивирусах. Но и то, не без нюансов, некоторые "топоры" уничтожают даже когда они ещё в сенях валяются.
Но это очень упрощённо и не про все варианты.
Следствием такого подхода являются случаи, когда, казалось бы, _запущенный_ файл, который должен детектиться, не детектится. Всё потому, что механизм его распространения/запуска считается совсем другим, нежели используется в тесте.
Продолжая аналогию, в тесте -- топор взял, зачем-то, сам владелец, что, топор должен теперь взорваться у него в руках?