De la manera que quiera.
La respuesta depende un poco de los privilegios con los que se ejecute el malware. Normalmente, el malware se ejecutará con los privilegios del usuario que invocó el malware, que es una de las razones por las que nunca debe iniciar sesión con privilegios de root o de administrador normalmente. Muchos tipos de malware intentarán entonces elevar sus privilegios, utilizando exploits del sistema operativo o ingeniería social.
Si el malware se ejecuta con privilegios de usuario normales, los pasos que puede dar para bloquear el acceso a Internet son algo restringidos. Podría matar o bloquear ciertas aplicaciones, o quizás engañar a tu sistema operativo para que piense que has desactivado intencionadamente tu red. Pero cualquier cosa que haga es probable que se arregle fácilmente con un reinicio y, posiblemente, iniciando sesión como otra persona.
Si el malware logra escalar privilegios, todas las apuestas están abiertas: podría apagar sus controladores de red, redirigir el DNS o sus tablas ARP. Por ejemplo, podría reescribir por completo el sistema operativo, ya que los privilegios de root/Admin básicamente otorgan un control total sobre todo el sistema.