Vamos a ver, por partes.
Lo primero, es qu epara crear una web necesitas un servidor y un nombre de dominio, para descargar algo ya sea un pdf o cualquier cosa el usuario se va a dar cueenta si no tiene como accion recomendada el guardar el tipo de archivo X que quieres descargar.
Osea, si tu vas a decargarle un exe y no tiene accion predeterminada cuando su navegardor abre un exe le saltara una ventana preguntandole que hacer con ello(guardar o abrir).
Para hacer eso un simple codigo js de redireccion en tu index.html
Luego ejecutarlo ya es otro tema, para eso se usa ingenieria social para hacer creer a la victima qu ees otra cosa diferente, por ejemplollamar a tu malware malware.pdf.exe (por defecto windows oculta la extension exe y parecera un pdf) ademas de cambiarle el icono.
Tambien puedes meter el malware en un .zip y oner la opcion de extraer y ejecutar X archivo cuando se abra, pero el usuario debera abrirlo.

Otra opcion qu eharia exactamente lo que tu quieres es un explpoit para el navegador, como por ejemplo MS10-002. Para esto hay unas cosas que son exploit kits que ejecutan mogollon de exploits a cada navegador para "ver si cuela alguno"
Saludos.

porque usa java... esto requiere primero que tu tengas instalado java en el pc, actives java en el navegador y a demás aceptes la ejecución del script.. y si tienes AV el antivirus saltará a la primera porque java por estas cosas tiene mala reputacion

de que hay hay, de ser públicos o simples de usar es otra cosa... el navegador es la gran primera linea de defensa para evitar brechas de seguridad, usualmente para traspasarla requieres una condicion tal que: 1- el usuario sea tonto, 2- tu metodo no es publicamente conocido y aún no ha sido bloqueado