Sua afirmação de que o malware baixado pode iniciar o tráfego de saída está correta. É aqui que entram os firewalls de antivírus / antimalware / software que monitoram o tráfego de aplicativos (ou, talvez eu deva dizer, "acesso a aplicativos") / bom senso; sabe o que está funcionando na máquina.
Para responder a alguns dos comentários ... É possível que um aplicativo abra dinamicamente portas para o tráfego de entrada via uPnP / NAT-PMP, portanto, isso deve ser desativado no roteador / gateway se você não fizer isso. quero esse comportamento. Supondo que esteja desativado, o tráfego de entrada para sua máquina só deve funcionar se você redirecionar as portas para ela.