Os arquivos .*.hmac
são arquivos de assinatura de alguns softwares criptográficos criados por fipscheck . Sua presença não é suspeita de forma alguma. Eles parecem ser comuns falso pontos positivos do chkrootkit no Fedora.
Quanto ao arquivo firefox-3.6/.autoreg
, que é uma parte normal do Firefox, você não o primeiro para ver o chkrootkit reclamar.
O /proc/2980/fd/129
inexistente é provavelmente porque o processo 2980 fechou o arquivo (ou mesmo saiu) apenas enquanto o chkrootkit estava atingindo-o.
Você obteria mais informações sem -q
.
As chances são de que estes são falsos positivos. Por outro lado, um invasor ciente do chkrootkit pode deliberadamente instalar seu malware em um desses falsos positivos comuns conhecidos. Por outro lado, executar o chkrootkit a partir do sistema que você está verificando é praticamente inútil: um malware bem escrito invadiria o kernel e faria tudo parecer normal para o chkrootkit e outras ferramentas de detecção de malware ou intrusão.