Comme le dit l'auteur, leur méthode peut marcher en théorie, mais en pratique c'est ultra risqué.

Même les machines virtuelles qui n'autorisent normalement pas l'accès au système hôte ont régulièrement des failles qui permettent au code virtualisé de s'"échapper". Alors avec une VM qui forwarde les accès à l'OS hôte, et la taille/complexité de l'API d'un OS, il est quasi certain qu'il restera toujours des "trous" dans la virtualisation, même s'ils font très attention.

Je me demande vraiment si cette méthode n'est pas une impasse. Ça n'apporte qu'une détection heuristique qui est facile à contourner ; même si la virtualisation était parfaite, il suffirait par exemple que le programme malveillant demande à l'utilisateur de résoudre un CAPTCHA avant de s'exécuter, et l'antivirus ne pourrait rien détecter. En contrepartie, ça fait courir le risque d'être infecté simplement en recevant un mail scanné automatiquement, même si l'utilisateur n'aurait jamais lancé le fichier attaché.