Bueno, no estoy muy seguro de lo que está preguntando exactamente, ya que su pregunta no parece demasiado específica.
Hay un malware que tendrá comunicación entre un dispositivo pirata informático y el suyo, y hay un malware que no tendrá ninguna conexión de salida.
Para el malware que comunica información de su máquina a otra, generalmente hay algunos medios de comunicación. Piensa en los RAT y en los troyanos en este sentido.
Hay muchas formas de que un atacante se comunique con su máquina, que puede ser a través de SSH, FTP e incluso HTTP. La comunicación se puede realizar a través de TCP o UDP.
Básicamente, depende del malware y lo que está destinado a hacer.
Prácticamente todos los canales de comunicación están abiertos y probablemente son utilizados por todo tipo de malware.
Espero que a partir de ahora pueda reducir su investigación y encontrar respuestas más rápidamente.
Espero haberte ayudado y buena suerte con tu investigación ^ _ ^.
EDITAR: la información a veces se cifra para ocultarse de los rastreadores, y otras veces no. Depende.