Partiamo dalla certezza che i virus, o meglio una parte di questi, sono a tutti gli effetti dei programmi
ben congegnati, direttamente ed esclusivamente utili alle sole finalità del creatore.
Per essere ampiamente riusabili, i virus dello stesso ceppo/famiglia sono composti da diversi moduli
intercambiabili e comunicanti tra loro, significando che ognuno di questi si interessa di una fase ben
precisa dell'infezione.
In genere sono almeno quattro: infiltrazione negli automatismi del s.o., camuffamento per eludere le
attività dei prodotti antivirus, elaborazione del flusso di attività nel reperimento delle informazioni
all'interno del sistema e, in ultimo, quella predisposta alla comunicazione dei dati con l'esterno.
Per giungere a scoprire la modalità o logica funzionale del virus/malware bisognerebbe per prima cosa
stabilirne il vero motivo per cui è stato creato: non per nulla in lingua inglese la finalità stessa viene
appositamente definita col termine goal.
In genere, in quest'era di Internet, il modulo più importante del virus/malware è quello che si interessa
della comunicazione con l'esterno, ovvero quello incaricato di inviare i dati trafugati sul sistema della
vittima, alla macchina di controllo del/dei virus writer.
Rispondendo alla tua domanda, ecco che una volta che lo scopo originario è stato raggiunto (furto dei
dati identificativi del conto bancario, della carta di credito etc.) il software di controllo è certamente in
grado di poterlo stabilire, quindi le attività originarie non sono più necessarie.
Può accadere in questi, ed in altri casi, che il virus potrebbe anche stabilire autonomamente di interrompere
il flusso di operazione della propria logica funzionale o addirittura, in alcuni casi, temporaneamente disattivarsi.
Non che il virus si voglia disinstallare, ovviamente, ma solo per non destare inutili sospetti o creare problemi
che ne facciano mostrare in qualche modo l'esistenza, in attesa di riattivarsi in futuro, all'evenienza (del
virus writer, ovviamente).
In buona sostanza, in certi casi il virus potrebbe benissimo continuare a celarsi nel sistema, ma non attivare
le proprie funzionalità.
Insomma, il principio alla base è quello di non dare inutilmente nell'occhio: uno dei comportamento mutuati
direttamente dai princìpi di ingegneria sociale.