Trojan è la risposta , preso attraverso una mail (e ovviamente relativo allegato) che il tuo amico ha ricevuto, o tramite programmi scaricati con p2p, o comunque software pirata/crack/warez. Ti rispondo ai quattro punti che hai detto:

1) nel caso di un trojan la connessione viene stabilita dall'interno del pc, e quindi in questo modo viene bypassato sia il firewall del sistema operativo (o comunque quello installato sull'host tipo zonealarm e compagnia) che quello del router.
2) l'attaccante può eseguire una serie di operazioni (avvio webcam, controllo partizioni e file/directory, ...) senza che l'utente se ne accorga
3) in XP la password se non erro serve quasi unicamente per l'accesso al sistema, e quindi come protezione da attacchi locali (se un attaccante vuole accedere al sistema dalla postazione stessa). Questo è diverso in Linux, poiché per installare software vengono richiesti i privilegi di root, e quindi la password.
4) non è necessario avere vnc installato...

Qualche settimana fa Le Iene hanno trasmesso un servizio in cui facevano vedere in che modo un attaccante potrebbe penetrare in un pc e cosa potrebbe poi fare. Ho scritto un articolo a riguardo sul mio blog, se ti interessa dagli un'occhiata...

http://matteocappelli.wordpress.com/...ricolo-hacker/