Подмена поисковой выдачи на рекламу.
Подмена Яндекса целиком на уровне DNS запроса.
Агрессивная дистрибуция, иконка mp3, 30 тулбаров.
Поведенческий анализ, в системе появляются процессы.
Добавить сайты в Яндекс.Вебмастер чтобы получать уведомления.
Safe Browsing API
Яндекс.DNS
Брутфорс админок, SSH, FTP.
Уязвимости веб-приложений.
Невидимый фрейм или скрипт подтягивает exploit pack.
Exploit pack проверяет версии плагинов, браузеров.
Если пользователь похож на живого (пришел с поисковой выдачи, IP адреса, cookie) ему загружают вредоносный контент.
.htaccess
Кастомные триггеры для БД.
APK отправляет платные SMS.
Flash может манипулировать DOM-ом.