とりあえず検出したと報告されているのは SucKIT なので、ググルとやはり？というか当然？あの方の資料がひっかかる。

Kernel Rootkit
http://www.port139.co.jp/cakeoff/030823/T030823.pdf

この資料のP23に SucKIT の解説があるのですが、リモートバックドアって書いてある、まぁ当然と言えば当然ですやね。
さて、ここで netsta コマンドを実行したところでバックドアポートが表示されるはずもないので、argus（raコマンドでかな？） で該当時刻以降にどいう通信があったのか表示させてみると手がかりが得られるかもしれませんね。
ん？ひょっとして、こいう場合には ramon で Matrix とか表示させるほうが効率がよいのかな？