Un método normal es analizar el virus y copiar una frase que lo reconozca, por decirlo así, se explicaría así:

<inicia virus "Bla-bla.g">
blabla 01154 Af
</termina virus Bla-bla.g>

La máquina va a buscar en los archivos esta cadena, pero si desarrollan el Bla-bla.h, bastaría con que dijera Eg y no Af para que no fuera reconocido.

Los virus actuales aprovechan esto para desactivar los antivirus, y una vez hecho esto, la instalación de un antivirus actualizado se dificulta mucho mas.

Casi es lo descrito anteriormente, es el sobrepasado del antivirus.

Eso era en el MS-dos, se trataba de la encriptación del virus.

Es una extraña herramienta que oculta todos los dominios del virus, archivos, registros, todo secretamente, ya hay programas que los borran, pero es lo más usado actualmente.