Um arquivo .exe baixado contendo malware geralmente causa problemas se não for aberto? Se sim, porque / como?

Meu amigo acidentalmente fez o download de um arquivo .exe contendo malware, mas não clicou nele duas vezes. No entanto, o seu sistema está agora a abrandar e o seu navegador está a dar-lhe uma mensagem de erro que foi claramente escrita pelo criador do malware.

É um conselho comum não baixar arquivos .exe suspeitos da Web e executá-los clicando duas vezes neles. No entanto, fiquei com a impressão de que o download em si, ou seja, o único ato de um arquivo sendo copiado da rede para o próprio disco, não causa nenhum problema, desde que as instruções no nível da máquina do programa de malware não sejam executadas ( e fiquei com a impressão de que a única maneira de fazer isso é realmente dizer ao sistema operacional para executar o arquivo .exe explicitamente através da GUI ou da linha de comando).

Também é sabido que a abertura de arquivos estáticos como imagens e documentos pode causar problemas por meio de explorações / vulnerabilidades de dia zero (por exemplo, nos metadados). No entanto, em um sistema atualizado, isso deve ser extremamente raro.

Como pode um executável que está apenas sentado no disco de alguma forma magicamente se executar? Há algum tipo de instruções de metadados presentes que o sistema operacional irá executar na criação ou cópia de arquivos? Quão típico é esse comportamento no malware hoje em dia?