Un método más avanzado es el uso de la encriptación sencilla para encriptar el virus. En este caso, el virus consiste en un pequeño módulo descifrar y una copia encriptada del código del virus. Si el virus se cifra con una clave diferente para cada archivo infectado, la única parte del virus que permanece constante es el módulo de decodificación, lo que (por ejemplo) se añade al final. En este caso, un antivirus no puede detectar directamente el virus mediante firmas, pero todavía puede detectar el módulo de decodificación, que todavía hace que la detección indirecta del virus posible. Debido a que estos serían las claves simétricas, almacenados en la máquina infectada, de hecho es muy posible para descifrar el virus de la final, pero esto probablemente no sea necesario, ya que el código de auto-modificación es tan raro que puede ser motivo de escáneres de virus por lo menos la bandera del archivo como sospechoso.
Un viejo, pero compacto, el cifrado implica XORing cada byte de un virus con una constante, por lo que la exclusiva-o la operación no tenía más que repetirse para el descifrado. Es sospechoso de un código para modificar, por lo que el código para hacer el cifrado / descifrado pueden ser parte de la firma en muchas definiciones de virus.