Esto está hecho, de alguna manera. El malware WannaCry, por ejemplo, verificó si el dominio iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
estaba registrado y no podía resolverse. Si estaba presente, el malware se apaga. El dominio fue registrado para reducir la propagación del malware.
Otros programas maliciosos pueden verificar la presencia de un determinado archivo en la computadora. Si el archivo está presente, el malware se terminará solo. Esto se hace a veces para prevenir múltiples infecciones simultáneas, y a veces se hace como una forma perezosa para que el autor del malware lo neutralice en sus propios sistemas.
Entonces, ¿por qué los sistemas antimalware no llenan su computadora con estas firmas? Simplemente porque, si el malware es conocido de antemano, es mucho más fácil bloquearlo directamente con la detección basada en firmas. En cuanto a la colocación oportunista de herramientas de depuración en el sistema para engañar al malware y hacer que piense que se está analizando, simplemente no hay suficientes intentos de malware para detectar eso. No sería un enfoque rentable comparado con, digamos, endurecer su sistema. Otra razón es que algunos programas maliciosos detectan la depuración generando un hijo y depurándose mutuamente, ya que solo se puede adjuntar un depurador a un proceso en un momento dado. Engañar a este tipo de comportamiento anti-depuración requeriría adjuntar un depurador a cada programa que se ejecuta, con la esperanza de que uno de ellos sea malicioso y se termine de forma resumida.