Есть три пути:
1) Проблемы безопасности у хостера + нарочно инфицированный аккаунт, который заражает остальные.
2) Червь использует на пользовательском компьютере сохраненные FTP-пароли.
3) Человек использует уязвимость софта.
Во всех случаях, которые я видел, вирус развешивает на сайт не собственное тело, а только <iframe>-ссылку на вирус, который уйдет посетителям. Привет пользователям IE6. Вирус захощен в Китае.
Убивать ручками. Признак: iframe-тег с подстрокой "hidden" внутри. Но признак может и не срабатывать.