Certo. Un worm polimorfico può certamente usare un "mutex" se lo desidera, per coordinare la sua attività. Niente gli impedisce di farlo.
A seconda del metodo utilizzato, ciò può fornire una firma che l'A / V basato sulla firma può utilizzare per riconoscere la presenza del worm. Alcuni di questi metodi potrebbero essere più facili da riconoscere per gli A / V basati sulla firma rispetto ad altri. Ci sono metodi subdoli che un worm può usare per coordinare tra le sue istanze che potrebbero non essere banali per l'A / V da rilevare.
Ad esempio, un modo in cui un worm polimorfico potrebbe coordinare le sue azioni su tutte le sue istanze sarebbe quello di comunicare attraverso la rete con un server C & C (c & C). Il server C & C può tenere traccia di tutte le istanze e dirgli cosa fare. Leggi di più su botnet . Il canale C & C è un potenziale modo in cui A / V è in grado di rilevare tali bot, ma ci sono anche modi in cui gli operatori bot possono rendere il canale C & C più rozzo, e in definitiva questo è un gioco di gatto e topo.
Penso che la domanda che hai posto sia di dubbia rilevanza pratica. I vermi su larga scala in questi giorni sono passati. Invece di cercare di infettare milioni di macchine e di entrare nelle notizie, in questi giorni i cattivi cercano di rimanere sotto il radar. Di solito è sufficiente una botnet molto più piccola, e non è così difficile assemblarne una. Né hanno bisogno di sofisticati exploit di livello super-geniale; dato il numero di macchine poco sicure su Internet, non è difficile per loro assemblare una botnet con poche centinaia o poche migliaia di macchine compromesse.