この話は、今までも星澤さんのセミナなどで話されていた内容ですよね。
マルウェア自身が、自分が動作している環境が仮想環境なのかどうなのかを判断するという話。
    

        最近の悪質なプログラムは，仮想マシンの検出機能を備え始めた。
SANS Instituteのスタッフが最近捕獲した悪質なプログラム12種のうち3種が，仮想マシンVMware上では動作しなかったという。
    
SANSであげられているパッカーを使用したものをウィルス対策ベンダーのウィルス情報で検索をしてみると、
・W32/Sdbot.worm.gen.ca：McAfee
・Agent.AUM：F-secure
が見つかったくらい。TrendmicroやSyamntecのサイトではそういう情報までは書かれていないのかな。

関連記事：「ボットネットは“目立たない”ように工夫を凝らす」---IIJの齋藤氏：ITpro