zikzak (./1886) :
entre un MKV de 3Go et une DLL qui se réplique ou une grosse quantité modifiée tout d'un coup c'est facile à repérer

Je n'en suis pas certain ; c'est déjà compliqué pour un informaticien de surveiller en permanence les tâches et services exécutés sur son poste, alors pour madame Michu...
Il y a tout un tas de malwares qui s'installent simplement en jouant sur la différence l/I ("L minuscule"/"i majuscule"), ou qui jouent sur une inversion de syllabe d'un exécutable déjà présent (voire qui prennent le nom d'un exécutable/d'une dll existant).
Et on parle de la problématique d'exécuter un programme au démarrage, là, pas de la façon dont le malware va se déployer et mettre en place des mécanismes de protection/de résurrection (pour le coup, c'est souvent à l'aide de solutions de type rootkit, de services lancés, de hooks sur une librairie légitime...)