Olhe para a página man do utmp, você verá ...
% bl0ck_qu0te%Então ...
-
utmp
deve ter uma lista (em formato binário) de todos os processos do usuário em execução -
chkrootkit
compara todos os processos do usuário em execução no sistema com o que está registrado em/var/run/utmp
, relatando o fato de que um processo que está sendo executado pelo root não está registrado.
Isso não significa que seja um rootkit ou registrador de dados. Mas pode ser .
Portanto, você precisa descobrir se esse registro é ou não uma vez que o malware provavelmente seria gravado para evitar o registro.