Самый живучий из попадывшихся мне - Nimda. У него целых четыре способа распространения:

1. Непосредственное заражение файлов
2. В каждую директорию (в том числе на сетевых дисках и в расшареных папках) кладется модифицированный richedit.dll (программы ищут dll для подгрузки сначала в собственной папке)
3. Респространение по e-mail
4. Если он находил на компе web-сервер (или директорию, видную через web-сервер из инета), то модифицировал index.html, дописывая туда собственный JavaScript, так что все клиенты при загрузке сразу получали окошко с вопросом "сгрузить программу?". Кто тыкал на "да", получал вирус.
Удалять его из сетки с 20 клиентами было сплошной головной болью. Только очистил пару компов - уже какой-то юзверь стартанул зараженную машину и вирус снова расползся по сетке. Учитывая метод с richedit.dll на другом компе достаточно запустить doc- или html-файл из директории, где такая dll лежит - и можно чистить заново. Плюс постоянная бомбардировка зараженными письмами... Плюс обычные штучки: запись в автостарт, интеграция в Explorer и т. д.
Удобный транслятор качать здесь: http://snapshot.strana.de