Wenn einer mit einem HEX-editor die daten findet wird er wohl auch schlau genug sein, das programm mit UPX zu entpacken

Aber ich glaube hier ist das ganze wirklich unangebracht, weil das Kernproblem nicht die Logindaten in der Exe sind, sondern der Übertragungsmechanismus mit FTP.
Denk also lieber über einen zweiten FTP-Account mit nur Lese-Rechten nach oder leg dir eine PHP-datei an. An der Unsicherheit deiner jetzigen Methode ändert auch das Verschlüsseln der Exe nichts.