Schädlinge müssen nicht installiert werden, ein Klick auf 'nen passenden Mailanhang kann reichen ...

Es muss letzlich nur irgendein auf dem System ausführbarer Schadcode sein.

Ob der nun per Installation kommt, per angeklickten Mailanhang oder per JavaScript (oder sonstwas) auf 'ner Website ausgeführtem, AutoRun auf 'nem beliebigen Datenträger ..., ist wurscht.