Claro. Un gusano polimórfico ciertamente puede usar un "mutex" si lo desea, para coordinar su actividad. Nada le impide hacerlo.
Dependiendo del método que use, esto puede proporcionar una firma que A / V puede usar para reconocer la presencia del gusano. Algunos de estos métodos pueden ser más fáciles de reconocer para A / V basados en firmas que otros. Hay métodos fraudulentos que un gusano podría usar para coordinar entre sus instancias que podrían no ser triviales para que los detecte A / V.
Por ejemplo, una forma en que un gusano polimórfico podría coordinar sus acciones en todas sus instancias sería comunicarse a través de la red con un servidor de comando y control (C & C). El servidor de C & C puede rastrear todas las instancias y decirles qué hacer. Lee más sobre botnets para obtener más información. El canal C & C es una forma potencial en la que A / V puede detectar tales bots, pero también hay formas en que los operadores de bot pueden hacer que el canal C & C sea más sigiloso, y en última instancia, este es un juego del gato y el ratón.
Creo que la pregunta que hiciste es de dudosa relevancia práctica. Los gusanos a gran escala en estos días están passe. En lugar de tratar de infectar a millones de máquinas y obtener noticias, en estos días los malos intentan mantenerse bajo el radar. Por lo general, una botnet mucho más pequeña es suficiente, y no es tan difícil armar una. Tampoco necesitan explotaciones sofisticadas a nivel de super genio; dada la cantidad de máquinas mal aseguradas en Internet, no es tan difícil para ellos armar una red de bots con unos cientos o miles de máquinas comprometidas.