Primeiro, como você sabe que não está instalado? Isso parece frívolo, mas é um rootkit, e o trabalho é esconder as coisas instaladas. Acreditar que você tem um rootkit instalado em um sistema faz tudo o que o sistema lhe diz suspeitar.
Esta página: link sugere um pouco sobre como ele é instalado. Parece que você pode usar o arquivo de objeto compartilhado em executáveis individuais exportando LD_PRELOAD definido para o nome do arquivo ncom .so.
Também parece que o arquivo /etc/ld.so.preload pode ser uma maneira de vinculá-lo dinamicamente a todos os executáveis.