Muy buena información

Los clientes que utilicen el servidor deberían desinfectar sus equipos y cambiar las contraseñas de acceso (FTP, etc.) y recomendar que si es posible utilicen SFTP en lugar de FTP (como sugieren algunos de los enlaces anteriores)
En alguno de los equipos locales infectados es posible que una de las infecciones robe contraseñas de FTP.

caso similar: http://www.forosdelweb.com/f66/web-atacante-730236/