Qualquer executável pode ser mal-intencionado, e uma verificação antivírus nunca significa "sua segurança", apenas que "não sei se é seguro, mas não como as outras coisas inseguras de que já ouvi falar".
Então, sim, vírus podem ser detectados em um instalador, detectados com base no que eles fazem quando estão instalando ou depois quando são executados, ou não são detectados.
o simples download de um arquivo geralmente não é suficiente para ativar o malware. geralmente deve ser executado para fazer algo ruim.