Não se vcs já pensaram, mais pode rolar um virus mais ou menos assim, ele fica em back, só ataca quando quando o usuário for o root, mais como? Basta verificar qual o usuário que está ativo, quando usuário for igual a root ele ataca o sistema, mais como saber, com o simples comando "who".
Isso foi apenas uma ideia que veio na cabeça, se da certo ou não, eu não sei.