El malware polimórfico no puede realizar las mismas acciones exactamente de la misma manera cada vez. Los programas antimalware deberán ser capaces de interpretar el resultado de un conjunto de acciones que pueden no ser muy confiables si el autor del malware lo hace bien al hacer que las acciones parezcan benignas y desencadenen falsos positivos.
Incluso cuando se reduce a un código de máquina, puede realizar la misma acción en una amplia variedad de formas. No sé el código de máquina, así que no escribiré ninguno, pero para una instancia realmente simple, hay muchas maneras de agregar dos números:
x + y = z
x - -y = z
|-x - y| = z
y + x = z
y - -x = z
|-y - x| = z
Por lo tanto, incluso si el programa descifra su propio código durante el tiempo de ejecución para evitar que el software antimalware lo identifique, puede actuar de varias maneras para lograr el mismo resultado.