A razão pela qual o malware gosta de executar a partir desses locais é porque o software legítimo gosta de executar a partir desses locais. São áreas nas quais a conta do usuário deve ter algum nível de acesso.
Com base em um rápido grep do meu próprio sistema e uma conta de usuário final aleatória em nossa rede:
%appdata%
Neste momento, tenho o Dropbox , o instalador de Adobe AIR e algumas probabilidades do Microsoft Office e termina nesta pasta.
%localappdata%
O join.me e o SkyDrive parecem morar aqui, ou pelo menos ter passado por aqui recentemente.
%temp%
Muitos programas, legítimos ou não, vão querer executar a partir desta pasta. Os instaladores normalmente descompactam a si mesmos em uma subpasta disso quando você executa setup.exe
em um archive compactado do instalador.
%UserProfile%
Normalmente, ele será seguro, a menos que o usuário tenha requisitos específicos, mas observe que pelo menos algumas das pastas acima podem ser subconjuntos disso em uma rede com perfis de roaming.
Compressed archives
Não execute código diretamente, em vez disso, extraia para %temp%
e execute a partir daí.
Quanto a se você deve ou não bloquear essas áreas, isso depende do que seus usuários normalmente estão fazendo. Se tudo o que eles precisam fazer é editar documentos do Office, jogar Campo Minado durante o almoço e talvez acessar um LOB app através de um navegador, etc., então você pode não ter muita dificuldade em bloquear executáveis em pelo menos algumas dessas pastas.
É evidente que a mesma abordagem não funcionará para pessoas com cargas de trabalho menos bem definidas.