Hay muchos tipos de virus. Cualquier lenguaje que te lo permita. A mi personalmente para malware me gustan javascript y Lua.
Para empezar igual Python es el más sencillo.

El malware ponlo a prueba en cualquiera plataforma compatible con las tecnologías que utilizases para el desarrollo. Para qué vas a analizar tu propio malware si sabes como lo has programado? Podrías encontrar un fallo de seguridad en tu propia aplicación, pero poco vas a analizar si estás empezando, hay libros sobre exploits que enseñan a analizar el código en busca de vulnerabilidades si es eso a lo que te refieres.

Personalmente pienso que el lenguaje da un poco igual mientras no te limite o te complique mucho o te alarge mucho el proyecto.

Se pueden instalar hasta fuera del sistema. Lo mejor es analizar lo que hace el malware con ingeniería inversa, teniendo monitorizada la red, y todos los cambios en procesos, servicios y archivos, lo cual requiere de mucho tiempo. También un firewall para detectar actividades sospechosas. También usa una máquina virtual con una sandbox como laboratorio, pero ten cuidado que no es seguro al 100% y menos si lo configuras erroneamente.

Sitios frecuentes suelen ser system32,  %temp%, también la carpeta en la que están las aplicaciones que se inician automáticamente al arrancar el sistema, carpetas usadas por navegadores, etc.