同じような懸念を持たれている方の投稿があります。
やはり現状では別のウィルススキャンの仕組みを使う必要があるようなことがいわれています。
which means we can't reliably turn on "attach" files without investing additionally in virus scan options when users bring in files from their devices.
回避策になるかは判断できないですが、特定の拡張子を持つファイルのアップロードを制限する、つまり承認されたファイルの種類/拡張子のみを許可する方法が解説されています。
確かにバイナリファイルでない、マクロのないファイルならウィルスの脅威はかなり低くなると思います。ただし、拡張子が偽装されてしまうと、この方法ではすり抜けられてしまいます...
https://trailhead.salesforce.com/trailblazer-community/feed/0D54V00007YvbdwSAB