alg.exe unter Gemeinsame Dateien

[ScoutX]

Seit kurzem hatte ich diesen Fehler ( http://www.freesoft-board.to/f17/erledigt-microsoft-net-framework-447484.html ) . Jener Beitrag stammt nicht von mir. Das obligatorische Googeln ergab gehäuft seit Anfang Oktober, dass eine alg.exe sich unter Gemeinsame Dateien / Common Files bei Windows Systemen eingenistet hat.
Ein Scan mit mehreren Engines (lokal und online), als auch Combofix und Antimalwarebytes finden nichts.
Die alg.exe trägt die Signatur von CPAX20.

Diese Datei ist sowohl durch eine Hardwarefirewall als auch Kasperky im hohen Sicherheits-Modus durchgekommen. Diese Datei ist im Autostart und läßt sich auch ohne Probleme beenden/löschen, ohne dass diese wieder reaktiviert oder erneuert wird.
Das Sicherheitsleck ist dadurch hoffentlich behoben.

Nur: Welche Software (möglicherweise verseuchte Webseite) könnte für diese Spyware(?) verantwortlich sein?
Das Dateierstellungsdatum ist der 27. August 2009.
Dieses Datum fand ich bei mehreren Googleergebnissen. Ich gehe davon aus, dass dies nicht das wahre Erstelldatum ist.
Außer Microsoft Updates mit den Netframework KBs, habe ich in letzter Zeit nicht wissentlich etwas installiert.

Kurz und knapp: Weiss mittlerweile jemand, woher er "seine" alg.exe bezogen hat?

 

[RAMMSTEiN0815]

normalerweise ist alg.exe ein windowsdienst für firewall und ICS, daher wirds die firewall durchlassen

aber in Gemeinsame Dateien / Common Files und autostart hat alg.exe nix zu suchen

 

[ScoutX]

Ich antworte mir selbst, ohne zu editieren, denn:

http://social.answers.microsoft.com.../thread/c6a38320-ffe8-41aa-a18c-4aa1e21f756c/

Dies scheint der nächste üble Streich des Internethijackings zu sein.
Ich muss dem IT-Student (Link) zustimmen.
Jeder sollte seinen Windows PC unbedingt auf diese alg.exe hin überprüfen.
Weder Vista mit UAC und eingeschränktem Benutzeraccount ist sicher noch XP.
Diese alg.exe scheint so gut wie jede Antivirensuite auszutricksen.

Welche Webseiten betroffen sind bzw. uns den Übeltäter unterjubeln, ist auch völlig unklar.
Alleiniges Surfen mit Firefox und etlichen Sicherheitsaddons hilft nichts.

Der Hersteller und Programmierer wird im obigen Link angezeigt.

Dies könnte man ruhig in den Computerbase News als Warnung herausbringen.

 

[Scheinweltname]

also, meine alg.exe liegt unter System32.

Kaspersky kann sie eigentlich nicht austricksen, es sei denn, sie hätte eine gültige und vertrauenswürdige digitale Lizenz. Denn ansonsten würde die Programmkontrolle beim Scan während des ersten Startes ("Ein verändertes oder neues Programm wird untersucht") Alarm schlagen.

Obwohl mich wirklich intessieren würde, wie das passieren kann. Ich kann als eingeschränkter Nutzer nichtmal auf "gemeinsame dateien" zugreifen, und selbst als Admin kann ich da nur lesen, weil nur der trusted installer und System vollen Zugriff haben.

P.s. Schieb hier keine Panik. Denn Schwachstellen sind Schwachstellen, weil sie noch nicht gefixt sind. Da Firefox bei mir das einzige Törchen zur Außenwelt ist (alles andere kann nur mit festgelegten IP-Adressen kommunzieren. Und wenn WindowsUpdate gehackt wird, dann steht sowieso das Ende des Abendlandes an!) und ich mit NoScript und Adblock surfe, kann eigentlich rein gar nichts irgendwelche Scripte ausführen geschweige denn auf meinen Rechner zugreifen. Außerdem können nichtmal Systemdienste beliebig ins Netz (alles auf "Aktion erfragen" bei Kaspersky). Wenn sich eine alg.exe melden würde, dann würde ich das schon sehen.

Das einzig Hinterhältige an dem Dingen scheint das Zertifikat zu sein, mit dem es die Heuristiken der Security Programme umgeht, weil es scheinbar digital signiert und daher zumindest nicht vertrauens-unwürdig behandelt wird.

EDIT: Hast du die Datei mal bei virustotal hochgeladen bzw. als Virus-Sample an einen Security-Hersteller geschickt? (Kaspersky würde sich bestimmt freuen )

Ich vermute, dass der Programmierer sowas http://www.heise.de/security/meldung/Trickzertifikat-fuer-SSL-veroeffentlicht-Update-798273.html für digitale Programm-Zertifikate ausnutzt.

EDIT 2: Nur am Rande: Man kann den originalen alg.-Dienst auch deaktivieren! Der Dienst heißt "Gatewaydienst auf Anwendungsebene". (http://www.winfaq.de/faq_html/Content/tip2000/onlinefaq.php?h=tip2341.htm), "Bietet Unterstützung für Protokoll-Plug-Ins von Drittanbietern für die gemeinsame Nutzung der Internetverbindung." ... wer also keine Dritt-Anbieter-Protokolle (vermutlich für irgendwelche nicht-Standard-TCP/UDP-Verbindungen (Skype? und co?) braucht, kann ihn offenbar ohne Nachteile deaktivieren. Wenn alg.exe dann nochmal im Taskmanager auftaucht, dann isses der falsche ...