Como bien dicen los compañeros, hay varios lugares comunes y en su gran mayoría se ejecuta desde los temporales de Windows %temp% - aunque luego dependido del tipo de malware, es onde este puede instalar o no el resto de sus componentes.
Antiguamente los reyes del ocultismo eran los Rootkits y luego sus primos hermanos los Bootkits que se ponían en el MBR antes del propio sistema operativo se cargara… Pero de estos ya se ven mucho menos y salvo algún APT (ataque dirigido) no hay muchos activos actualmente.
Otro ejemplo, son los Troyanos que se inyectan a sí mismos en algún proceso de Windows legítimo (explorer.exe, svchost.exe, etc) en donde se ejecutan ya con los permisos que ese proceso tiene y hacen que sea mas difícil para los AVs puedan detectar, bloquear y eliminar su código, que aun borrando sus otros archivos, el troyano se mantiene vivo dentro de un proceso.
El Ransomware por otro lado directamente no tiene ninguna intención en esconderse, pero si luego borrarse a si mismo una vez termina su trabajo de cifrar los archivos de la victima o moverse lateralmente buscando otro equipo conectado al red para encriptar también a este y así.
El Adware… este es como cualquier programa, que se instala y se mete en todos los rincones de la maquina… aunque bajo nuestro propio consentimiento… al menos al darle, siguiente, siguiente, aceptar.
Y por ultimo, ahora tenemos los Malware Fileless (o virus sin archivos) los cuales directamente ejecutan su código malicioso directamente en la memoria RAM de la victima, modifican el registro para lograr su persistencia y de esa manera permanecen oculto de la mayoría de los radares de los antivirus
Salu2