La risposta giusta è la seconda.
In pratica non si tratta solo di virus. Quando lanci un exe, quel programma è autorizzato dal sistema a fare esattamente le stesse cose che potresti fare tu a mano; per esempio cancellare files, aprire porte in ascolto, disabilitare il firewall, ecc.ecc.
Inoltre, poichè i creatori dei malware sono di solito anche parecchio esperti, riescono a fare cose sorprendenti senza che tu nemmeno te ne accorga.
Per esempio, anni fa mi sono accorto solo per caso che il mio PC mandava mail di spam al ritmo di centinaia al minuto in giro per il mondo! E c'è voluta parecchia fatica per farlo smettere :-)
Gli antivirus agiscono solo su virus già conosciuti, ed in base a controlli euristici, su comportamenti "sospetti". Diciamo che l'antivirus ferma abbastanza facilmente i malware che "cercano di intrufolarsi" tramite e-mail, p2p, siti web, ecc.
Ma se tu esegui un file exe, ci sono molte possibilità che (se il malware non è stato riconosciuto in scansione) abbia la possibilità di fare quello che vuole.
Sono cosi avanti che quando guardo indietro vedo il futuro.
