Oba
Generalizando, mas não absoluto,
Todo arquivo do GNU/Linux possui um hash ( parecido ao md5sum quando baixa uma distro ) que fica junto aos arquivos nos repositórios e dentro do arquivo para comparação.
quando você dá um dpkg ou apt-get ou qualquer outro para baixar o arquivo, o instalador checa o hash para saber se o download não foi corrompido.
Não estando corrompido recebe um ok e instala.
o rkhunter usa este hash para comparar o arquivo dentro da sua maquina. Se este hash for diferente o arquivo passa a ser suspeito.
Pastas como .udev e .initramfs estão em constante mutação, pois informações são adicionadas a cada boot, ( no udev o seu hd por exemplo ) então é de se esperar um hash corrompido.
Este é o mesmo efeito causado por um rootkit, que se instala ( por exemplo no seu gimp-data, e passa a informar um hash diferente ) neste momento voce sabendo que gimp-data não sofre alterações de tamanho nem de conteúdo passa a suspeitar de que algo foi alterado nele. Remove -se o arquivo gimp-data e baixa -se um novo de uma fonte confiável. Fim do rootkit.
para manter seu sistema "saudável" voce pode manter um back up dos arquivos que sofrem alteração e comparar com os encontrados como "suspeitos", copie o back up por cima do original e passe o rkhunter de novo.
Recebeu o mesmo resultado, então são falsos positivos e podem ser ignorados.
[],s