La razón principal por la que el malware no puede evadir el AV de esta manera es porque el escáner en acceso lo detectará.
Desde el punto de vista AV, el malware que se mueve a diferentes archivos es el mismo problema que los nuevos archivos que se crean durante el análisis. Una solución muy simple es que el AV haga un seguimiento de los nuevos archivos que se crean (lo que incluye el cambio de nombre de los archivos actuales). Esto se hace conectando la API del sistema operativo u otros enlaces de nivel inferior.
En teoría, un rootkit perfecto será invisible para un AV. Para aumentar las posibilidades de AV contra los rootkits, el AV se inicia muy temprano en la secuencia de inicio, utiliza formas de comunicación de bajo nivel para el sistema operativo y el hardware, y supervisará la actividad de manipulación en sí mismo. Además, la primera etapa de una exploración es en procesos activos y en binarios del sistema. Esto se hace especialmente porque el malware en la memoria puede jugar trucos como usted mencionó.
También tenga en cuenta que cualquier actividad extraña en el lado del malware, como mover archivos, saltar a través de la memoria de diferentes procesos y usar métodos similares a rootkits solo atraerá la atención porque el software legítimo no tendrá ese comportamiento. Las heurísticas de AV marcarán un comportamiento extraño y eso podría ayudar a detectar el malware o el binario podría cargarse en los servidores de AV para su posterior análisis y verificación cruzada.