1. Создатели вирусов их по разному обзывают. И пользователю если понадобится чтото запустить, и он не совсем дурак - сам переименует.
2. Гимор в том, что если пользователю понадобится что то запустить, и мозгов переименовать не хватит - лишняя бесполезная нагрузка на админа.
3. угу, в HKLM и копирует себя в папку виндовс, только вот у юзера нет прав на запись в этот куст реестра и эту папку, на этом работа вируса и заканчивается.
Был один какойто, догадавшийся себя в HKCU прописать, и в папку с виндовсом скопировать
(что ему само-собой не удалось). При загрузке выдавалось 3 сообщения что файл не найден. Вылечилось регедитом за 5 минут.
И вообще, при такой организации на рабочих станциях и антивирус как таковой нафик не упёрся. Достаточно раз в ... сканировать с сервера по сети винты.