Вредоносные программы, которые пользователи сами пускают к себе в систему (трояны), составляют подавляющее большинство среди всего malware. Практика показывает, что находится достаточное количество юзеров, которые введут любые пароли. И это тоже называется "вирусом" - конечно, не классическим. Но и антивирусы тоже же не одни только классические вирусы отлавливают, это всего лишь вопрос терминологии.
Ну слуште, если вы вводите пароль, чтобы вирус мог начать работать, какой же это вирус? Это не вопрос архитектуры ОС тогда, а вопрос источника приложений. То же и с автозапуском. Любая программа которы вы лично запустили, или разрешили запустить, может уничтожить все ПОЛЬЗОВАТЕЛЬСКОЕ пространство. Но вопрос где вы взяли эту программу, зачем запустили, СИСТЕМНАЯ часть остается в безопасности при этом, если не вводили пароль root.
Программа может специально служить для чистки пользовательской информации и вы запускаете ее нарочно и сознательно. Разве она вирус? А вот если вам кто-то для смеха сказал что это новая игра, и вы запустили ее?
В общем безопасные репозитории рулят!