Bem, óbvio que eu não tô falando especificamente desse worm, foi só um comentário sobre a lenda de que a senha de root é a proteção contra todos os males.
O algoritmo tá aí em baixo.
O programa malicioso cria um processo a nível de usuário que fica em busy waiting captando entradas, as reproduzindo em um arquivo de log (que eu, por maldade, esconderia, por exemplo dentro do "/home/usuario/.fonts") e jogando para a entrada/saída padrão...
Depois executa um parser que procura a string mais comum depois de uma linha com 'sudo' e um enter.
Pode não funcionar? Pode, mas acho q o programa conseguiria a senha em 90% dos casos.
Pode dar um trabalhinho para implementar, mas a idéia é ridícula de fácil.