С чего он там будет в открытом виде? Я уже упомянул выше - есть вполне невинный код, который даже что-то полезное может делать (или не делать ничего подозрительного), и только через некоторое время после запуска активируется зашифрованная часть. Всё - антивирус отдыхает, ибо единственный способ что-то сделать в данном случае - это симулирование выполнения и ожидание на тему "а вдруг?".
Существует масса способов скрыть реальную активность - и только один надежный способ её обнаружить - дать коду возможность выполняться, наблюдая за действиями в течение довольного длительного времени. Большинство вирусов и троянов этим не заморачиваются, потому и ловятся, но всё равно остается масса тех, которые не ловятся.

Интересно, почему ты так не думаешь? Технология отлично известна, даже исходники есть в сети - причём от разных авторов. Что мешает виросописателям их использовать?
В конце концов, есть же навороченные вещи вроде TDSS - а это в какой-то мере даже проще.