А че вас UAC то напугал? Нинада никаких 0-day уязвимостей. UAC работает в ring-3, даешь программе права ring-2 и UAC молчит.
https://ru.wikipedia.org/wiki/%D0%9A...B8%D1%82%D1%8B
Иными словами, лепишь к своей вирусне утилиту psexec, всё это лепишь к какой-нибудь полезной программке и выкладываешь в доступ для скачивания. При первом запуске UAC заорёт, но пользователь будет думать, что это нормально во время установки программки. Далее вместе с программкой запускается твоя вирусня, которая распаковыевает psexec и через неё перезапускает саму себя, всё у вирусни права "настоящего" администратора - системы - как одмин в XP (run as system - ring-2), она прописывается от имени системы в службы и далее без всяких UACов запускается run as service.