Gebe ich dir Recht, denn der Virus ist ziemlich wasserdicht.
Habe den Schweizer C&C Server ein wenig näher angeschaut, es ist leider schon mal kein Apache (mit all dessen Macken) sondern nginx 1.0.4 . Das ganze läuft auf Debian lenny, PHP ist ein 5.2.6 - da besteht allerdings ein Memory Exhaust Problem. Um dieses zu nutzen reichen aber meine Kenntnisse nicht, ansonsten ist der ziemlich dicht. SSH ist gut gesichert, brute ist da zwecklos.
Es gibt noch ein paar offene Ports, seltsamerweise für MAC Anwendungen z.B. AFP over TCP. Aber dazu finde ich nichts, wo man ansetzen kann.

Spielen mit den Parameter der a.php brachte auch nicht viel, magic quotes sind an - SQL Injection zwecklos. Man müsste jetzt mal alle SQL Vulnerabilities durchsuchen ob ein Fehler exsitiert den man durch die Magic Quotes durchschleusen kann.
Code Injection über Variablen wurde schon seit PHP 5.0 behoben - register_globals auf off ist schon damals einer der Sicherheits-Ansätze gewesen.

Alles in allem muss schon ein begabter sagen wir mal "Serverversteher" her um sich dort mal umzusehen.