Aggiornamenti vari da Dr.Web

Ecco tre importanti update da Dr.Web.

Update di Dr.Web 9.0 per Android
Doctor Web ha aggiornato il prodotto Dr.Web 9.0 per Android. L'aggiornamento assicura la compatibilità dell'antivirus con il software Google Hangouts sui dispositivi Android 4.3 e delle versioni inferiori.

Se sul computer era installato il programma Google Hangouts, l'antivirus poteva non bloccare gli SMS in arrivo dai numeri inclusi nella black list dell'Antispam, e i comandi SMS del modulo Antifurto potevano non funzionare. La causa di questo problema è stata eliminata.
Per una maggiore comodità degli utenti, sono state apportate alcune piccole modifiche all'interfaccia dell'antivirus.
Gli utenti di Dr.Web per Android riceveranno l'aggiornamento in modo automatico. Se sul dispositivo sono disattivati gli aggiornamenti automatici, è necessario entrare su Google Play, selezionare Dr.Web Antivirus o Dr.Web Antivirus Life license dalla lista applicazioni e cliccare su "Aggiorna".

Per aggiornare l'applicazione dal sito di Doctor Web, è necessario scaricare la nuova versione. Se l'opzione "Nuova versione del programma" è abilitata nelle impostazioni dell'antivirus, l'utente viene notificato della disponibilità della nuova versione durante l'aggiornamento dei database antivirali. La nuova versione può essere scaricata direttamente da questa finestra di dialogo.

Rilasciata l'utility di cura Dr.Web CureIt! 9.0
Doctor Web ha rilasciato la nona versione dell'utility Dr.Web CureIt! ideata per eseguire le scansioni e neutralizzare i virus anche sui computer su cui è installato un antivirus di un altro produttore. I miglioramenti hanno reso l'utility ancora più veloce e più efficiente. Nella versione 9.0 di Dr.Web CureIt! si applicano le tecnologie e innovazioni già incluse nei prodotti Dr.Web per Windows che incrementano l'affidabilità della protezione contro le minacce informatiche più moderne.

La nona versione dell'utility Dr.Web CureIt! include il kernel antivirus aggiornato. È stato sospeso il supporto dei sistemi operativi MS Windows 2000 e 2000 Server. Non si usa più la modalità di protezione rafforzata – per il momento non è più necessaria.

Inoltre, adesso è possibile avviare la versione dell'utility a pagamento non soltanto da amministratore, ma anche da account con poteri limitati.

Lavori tecnici sui server di Doctor Web
Doctor Web informa dei prossimi lavori tecnici sui server dei siti della società. I lavori verranno eseguiti la notte del 15 dicembre 2013, 00:00–05:00 ora di Mosca.

Notifichiamo gli utenti di Dr.Web e i partner della società che durante l'esecuzione dei lavori saranno sospesi: l'acquisto e il rinnovo delle licenze Dr.Web; l'autenticazione e la registrazione degli utenti sul sito www.drweb.com. Inoltre, saranno temporaneamente non disponibili i servizi del portale per i partner e la pagina WebIQmetro.

I database dei virus di tutti i prodotti Dr.Web si aggiorneranno in modo regolare.

Questi lavori hanno lo scopo di migliorare la disponibilità e la qualità di tutti i servizi forniti sui nostri siti.
Ci scusiamo per il temporaneo disagio.

Mailing di massa in Skype propaga un trojan bancario

Doctor Web — produttore di software antivirus — avverte gli utenti di una larga propagazione in Skype dei messaggi malevoli che trasportano i trojan bancari "BackDoor.Caphaw". Il numero più grande di tali messaggi è stato registrato nella prima metà di novembre 2013. Il trojan BackDoor.Caphaw può rubare credenziali di accesso ai sistemi di home banking e altre informazioni sensibili memorizzate sulla macchina infetta.

Il trojan BackDoor.Caphaw viene rilevato sui computer da circa un anno. Il trojan infetta il sistema operativo utilizzando le vulnerabilità (in particolare, il pacchetto degli exploit "BlackHole"), nonché la sua capacità di copiarsi su periferiche e unità di rete. Approssimativamente dalla seconda metà di ottobre 2013 il BackDoor.Caphaw ha cominciato a propagarsi tramite messaggi in Skype, e la maggiore intensità di questo mailing malevolo è stata dal 5 al 14 novembre. I malintenzionati inviano messaggi dagli account Skype degli utenti i cui computer sono già infetti. I messaggi includono un link a un archivio con il nome "invoice_XXXXX.pdf.exe.zip" (dove XXXXX è una stringa di cifre). L'archivio contiene il file eseguibile del trojan BackDoor.Caphaw.

Una volta avviato nel sistema operativo, il malware salva la sua copia come un file con un nome casuale in una delle cartelle delle applicazioni e modifica la chiave del registro di sistema responsabile dell'esecuzione automatica programmi. Il trojan è in grado di riconoscere l'avvio nella macchina virtuale, una caratteristica finalizzata a impedire l'analisi del programma malevolo.

Dopo l'installazione, il BackDoor.Caphaw cerca di incorporarsi nei processi in esecuzione e stabilisce una connessione al server dei malintenzionati. Il trojan segue le attività dell'utente e cerca di individuare eventuali tentativi di connessione ai sistemi di home banking. Se l'utente usa un sistema di home banking, il malware incorpora contenuti esterni nelle pagine web visualizzate e intercetta i dati immessi nei moduli web.

Inoltre, il cavallo di troia può registrare video in streaming sul computer infetto e trasmettere tale video al server dei malintenzionati. Il BackDoor.Caphaw scarica dal server remoto e avvia sul computer diversi moduli che arricchiscono le sue funzioni. Questi moduli addizionali cercano password di accesso ai FTP client e le trasmettono ai malintenzionati, funzionano come un VNC server, inoltre, un altro modulo è un bootkit che può infettare il Master Boot Record ecc. Un modulo separato invia messaggi malevoli in Skype.

L'antivirus Dr.Web rileva questa minaccia ed elimina il BackDoor.Caphaw quando tenta di penetrare sul computer protetto. Nondimeno, si consiglia agli utenti di non cliccare sui link ricevuti in messaggi in Skype, anche se il messaggio sia arrivato dall'account di un amico visto che il suo computer potrebbe essere già infettato dalBackDoor.Caphaw<,/vir>. Se si è diventate vittime di questa minaccia, si consiglia di avviare il computer nella modalità sicura di Windows e di eseguire una scansione completa tramite l'utility gratuita Dr.Web CureIt!, altrimenti si può utilizzare il disco di ripristino Dr.Web LiveCD.

Fonte

Ancora novità su CryptoLocker

Abbiamo tenuto i nostri lettori aggiornati sul CryptoLocker - il ransomware che cripta i file e chiede soldi in cambio di una chiave privata per decrittografare i dati. Una volta che il malware cripta i file, la vittima ha 72 ore per pagare il riscatto ($ 300 USD), in caso contrario, la chiave privata verrà distrutta e i dati saranno persi per sempre. Ma ci sono delle novità: i creatori di CryptoLocker stanno dando alle loro vittime una seconda possibilità per ottenere indietro i loro file. Questa, tuttavia, avrebbe un costo più elevato.

I dati, una volta cifrati da CryptoLocker, non possono essere ripristinati senza acquistare la chiave privata. E una volta che questa minaccia viene rilevata da un software antivirus, viene rimossa dal sistema. Quindi, anche se la vittima cambia idea e decide di pagare il riscatto per riavere i propri “preziosi” dati, non saranno in grado di farlo. Abbiamo consigliato più volte agli utenti di non pagare i soldi per il ransomware, ma è vero che se un’azienda sta andando in crisi perché i suoi dati sono stati crittografati da CryptoLocker, è più probabile che l'imprenditore paghi il riscatto. Sembra che anche gli sviluppatori di CryptoLocker abbiano pensato a questa possibilità e hanno ideato un servizio di decrittazione online. Il recupero dei dati utilizzando questo servizio è di 10 Bitcoins o circa $ 2,120 USD.

Come funziona il servizio?

L'utente deve caricare un file crittografato sulla pagina del servizio, dopo di che riceveranno un numero d'ordine, che può essere utilizzato per controllare lo stato dell'ordine. Una volta che un ordine viene trovato, all'utente verrà richiesto di acquistare la chiave privata. Se il pagamento coincide con l'importo richiesto dagli ideatori di CryptoLocker, l'utente riceverà la chiave privata e una Decrypter per recuperare i propri dati.

Per riassumere:

Costo della chiave privata entro il termine tre giorni - $ 300 USD
Costo della chiave privata dopo il periodo di tre giorni - $ 2,120 USD (circa)

Ecco dove abbiamo discusso su CryptoLocker e come si può evitare che infetti i computer:

a) CryptoLocker – the New Ransomware on the Loose
b) Attenzione: nuovo ransomware in azione. Ecco quali precauzioni si dovrebbe prendere per prevenire la perdita dei dati

Fonti:
www.bleepingcomputer.com
http://blogs.quickheal.com

URLologist Dr.Web: prevenzione delle infezioni sui siti mobile

La società Doctor Web porta all'attenzione degli utenti il considerevole aumento del numero di siti per cellulari che eseguono reindirizzamenti verso risorse malevole. Tali siti non rappresentano alcuna minaccia se accessi da un computer o notebook, però diventano pericolosi una volta aperti nel browser sullo smartphone o tablet Android. Per informare gli utenti su come evitare tali siti, abbiamo messo a disposizione (in inglese) una nuova sezione chiamata URLologist Dr.Web in cui potete scoprire cosa sono i "mobile redirect" e conoscere le altre minacce moderne associate agli URL.

Anche se siete sicuri che i siti che visitate dai vostri cellulari siano attendibili, questa potrebbe essere un'opinione sbagliata. Per dire di più, talvolta neppure i proprietari e gli amministratori dei siti compromessi sanno che le loro risorse potrebbero mettere a rischio i dispositivi (e i portafogli) dei visitatori.

Generalmente, i siti web vengono governati dai cosiddetti sistemi di gestione dei contenuti (Content Management System, CMS) — ovvero un set di programmi per pubblicare pagine e per modificare i contenuti, l'aspetto e la struttura del sito in modo flessibile. La maggior parte dei sistemi CMS viene distribuita gratis sotto licenze open source, dunque il codice sorgente di questi programmi può essere conosciuto da chiunque si interessi. Pertanto, dopo aver studiato i programmi CMS, i malintenzionati possono trovarci vulnerabilità e in seguito possono sfruttare le falle per violare un sito gestito da questi programmi.

Se bersaglio degli hacker sono i dispositivi mobili Android, il sito violato non farà alcun danno agli utenti che ci entrano da un desktop o notebook. Ma una volta che lo script malevolo introdotto nella struttura del sito determina che al sito è accesso un utente di Android, esegue subito un reindirizzamento verso un'altra risorsa che cercherà di installare sullo smartphone un programma malevolo oppure sarà uno strumento di frode e di phishing.

Tramite i siti violati, i malintenzionati possono diffondere diversi programmi malevoli, i più comuni tra i quali sono i trojan Android.SmsSend. All'insaputa dell'utente, questi trojan spediscono SMS a costo elevato e abbonano l'utente a servizi a pagamento - in questo modo i malintenzionati possono rubare denaro dai conti di telefonia delle vittime. Tuttavia, oltre a questa categoria, sul dispositivo possono intrufolarsi altri malware, per esempio, programmi spia che rubano informazioni sensibili dell'utente, trojan bancari e applicazioni che mostrano pubblicità.

Secondo le stime di Doctor Web, circa il tre per cento di siti nella parte russa di Internet reindirizza gli utenti dei dispositivi Android verso risorse malevole che diffondono programmi dannosi. Nel valore assoluto, tali siti sono quarantacinquemila, mentre insieme ai siti fraudolenti e di phishing il numero complessivo di risorse pericolose può essere cento-duecentomila.

La nuova sezione del sito di Doctor Web fornisce agli gli utenti le informazioni sulle minacce mobile che sono soprattutto rilevanti per quelli che non hanno ancora installato un antivirus sul dispositivo mobile. Vi ricordiamo che il metodo migliore per proteggere il dispositivo è installarci una soluzione di sicurezza completa: per i dispositivi mobili tale soluzione potrebbe essere Dr.Web Mobile Security e per un PC/Mac Dr.Web Security Space.

Restate prudenti e attenti navigando nella rete mondiale e usate Dr.Web! Ai proprietari di siti proponiamo di collocare sul sito un modulo online che consente ai visitatori di controllare se un URL non attendibile contenga un "mobile redirect".

Fonte Dr.Web

La Top 20 dei malware per Android

La natura open source di Android l’ha reso la piattaforma più popolare mobile nel mondo: al momento attuale, Google Android ha il 51,6 % della quota di mercato degli Stati Uniti (fonte: www.androidcentral.com, rapporto a partire da agosto 2013). Ma come come al solito c’è sempre il rovescio della medaglia. L'enorme popolarità del droide verde ha fatto aumentare l’interesse anche di hacker e criminali informatici. Questo è evidente dal fatto che il 99,9 % dei nuovi malware mobile che sono creati da parte di hacker sono progettati per colpire Android.

Ecco dunque una veloce carrellata dei 20 malware più diffusi riscontrati dal Quick Heal Threat Research e Response Team.






1 . Android.FakeRun.A
Android FakeRun.A è Trojan Android. È stato progettato per visualizzare gli annunci sul dispositivo infetto, per guadagnare i soldi per l'autore del malware.

2 . Android.NickySpy.A
Android.NickySpy.A è un Trojan Android che ruba le informazioni dal dispositivo infetto e le invia a un server remoto.

3 . Android GingerMaster
Android GingerMaster è un cavallo di Troia Android. Generalmente è incorporato in una falsa versione di giochi popolari.

4 . Android.Nyearleaker.B
Android.Nyearleaker.B è un cavallo di Troia Android. Questo malware si presenta sotto forma di un live wallpaper che sottrae informazioni dal dispositivo della vittima.

5 . Android.Ewalls.B
Android.Ewalls.B è un Trojan Android. Anche questo si finge come un’applicazione wallpaper, ma in realtà ruba informazioni dai dispositivi infetti.

6 . Android.Obad.A
Android.Obad.A è un sofisticato malware per Android che ottiene i privilegi di amministratore. Una volta avuti, non può essere rimosso manualmente dal dispositivo compromesso.

7 . Android.Iconosis.A
Android.Iconosis.A è un cavallo di Troia progettato per rubare informazioni dai dispositivi Android infetti. Una volta installato, il malware raccoglie il numero di telefono e il numero IMEI del dispositivo compromesso.

8 . Android.Aplog.A
Android.Aplog.A è un Trojan Android. Di solito è rilevato come una falsa versione di giochi legittimi; Temple Run è uno di loro.

9 . Android.FakeInst.AI
Android.FakeInst.AI è un Troja. Può consentire a un hacker di manipolare SMS e posizione dell'utente nel dispositivo Android compromesso.

10 . Android.Fakebrows.A2aab
Android.Fakebrows.A2aab è un Trojan Android che passa da un’applicazione legittima.

11 . Exploit.Lotoor.Af
Exploit.Lotoor.Af è un disegno exploit per ottenere i privilegi di root sui dispositivi Android. Una volta installato, l'exploit può ottenere la possibilità di eseguire qualsiasi attività sul dispositivo compromesso.

12 . Android.Fakelook.A5046
Android.Fakelook.A5046 è un backdoor. Questo malware si nasconde nel menu Applicazioni e raccoglie l'identità del dispositivo infetto.

13 . Android.Badao.A
Android.Badao.A è un Trojan. Il malware è progettato per manipolare il Short Messaging Service dei dispositivi infetti.

14 . Android.Fakeapp
Android.Fakeapp è un cavallo di Troia progettato per i dispositivi Android. Il malware visualizza degli annunci, scaricando i file di configurazione senza che l’utente ne sia a conoscenza.

15 . Exploit.Zergrush.C48
Exploit.Zergrush.C48 attacca qualsiasi vulnerabilità presente nel dispositivo Android attaccato, per ottenere i privilegi di root.

16 . Android.Downsms.A
Android.Downsms.A è un Trojan Android. Una volta installato, invia SMS a numeri a pagamento e può scrivere su una memoria esterna del dispositivo infetto.

17 . Android.MketPay.A
Android.MketPay.A è un Trojan. Si trova di solito nascosto in applicazioni legittime disponibili in molti mercati cinesi.

18 . Android.Tatus.A
Android.Tatus.A tiene traccia delle applicazioni installate nel dispositivo e invia questi dati a un server remoto. Si tratta di un cavallo di Troia.

19 . Android.Opfake.E
Android.Opfake.E è un cavallo di Troia rilevato su dispositivi Android. Esso viene fornito in bundle con una versione legittima del browser mobile Opera.

20 . Android.Ksapp.C
Android.Ksapp.C è un Trojan Android. Ruba informazioni sensibili e invia le informazioni raccolte su un server remoto.


Android Malware Detection da Quick Heal

Totale programmi maligni rilevati - 4,31,397
Adware - 94 %
Malware - 2 %
I potenziali programmi indesiderati (PUP) - 4%





Alcune info sulla Mobile Security

# La maggior parte delle app Android chiedono troppi permessi anche per svolgere le loro operazioni di base.

# Molti attacchi informatici sui telefoni cellulari avvengono attraverso applicazioni compromesse o browser web mobile sfruttati.

# Dal 2012, il numero dei malware che colpiscono la piattaforma Android è aumentato vertiginosamente del 600%.

# Jelly Bean sembra essere più sicurezzo rispetto alle versioni precedenti del sistema operativo Android. Tuttavia, circa il 50 % dei dispositivi Android ha un’altra versione di questo sistema operativo.

# Il numero di malware per Android ha già superato il milione. Questo è in netto contrasto con il malware del PC, che ha impiegato quasi un decennio per raggiungere questo numero.

# Smishing è una variante di phishing in cui i phisher utilizzano SMS per ingannare le loro vittime. Si tratta di tenta di rubare informazioni sensibili: questo si può fare persuadendo la vittima a visitare un sito web falso o a chiamare un numero di telefono. In alcuni casi, le truffe Smishing tentano anche di infettare dispositivi di destinazione con malware.

# Gli utenti mobile sono più suscettibili agli attacchi di phishing che gli utenti desktop.


Le fonti delle app Android

È sempre sicuro installare le applicazioni Android da GooglePlay o dalle loro fonti ufficiali, ma se si dà un'occhiata ai seguenti dati si potrebbe scorgere un fatto dietro l'esplosione di malware Android in questi ultimi anni.
Secondo uno studio condotto da AV-Comparatives, negozi di terze parti Android ospitano circa 7.000 applicazioni pericolose.




La tecnologia continua a muoversi con un ritmo sempre crescente. E con questa cresce anche la criminalità informatica. In questo rapporto vi abbiamo presentato un'analisi della top 20 dei malware che affliggono la piattaforma Android. E questa è solo la punta di un iceberg; gli autori di malware sono decisi a svilupparne di più sofisticati e dannosi. È vero che non è possibile essere inattaccabili, ma prendendo le giuste misure cautelative, utilizzando una soluzione affidabile di antivirus mobile e essendo noi stessi consapevoli della sicurezza delle informazioni, dovremmo riuscire ad essere più sicuri.

Fonte: quickheal.com

Quick Heal per Android arriva anche in Italia!

Già presente da tempo sul mercato indiano, Quick Heal lancia la sua Total Security per Android anche su quello italiano.

In un periodo in cui sta aumentando a dismisura il numero di dispositivi mobile connessi a internet e di conseguenza anche l’interesse dei cyber-criminali verso di essi, la protezione degli smartphone è diventata di vitale importanza.
Quick Heal Total Security per Android permette di difendere i propri dispositivi mobile e i dati in essi contenuti da virus, malware e da altre minacce su Internet, ma non solo! Grazie alle funzioni di Anti-Theft e Cloud-Backup consente anche di proteggere i dati da furto, smarrimento e cancellazione accidentale.

Ecco in breve tutte le caratteristiche:

Protezione Antivirus - Protegge il tuo dispositivo individuando virus e applicazioni pericolose.
Antifurto - Individua e blocca da remoto il tuo dispositivo rubato o perduto.
Parental Control - Aiuta i genitori ad impedire ai figli l’accesso a siti inopportuni.
Blocco Chiamate - Blocca tutte le chiamate in arrivo degli utenti in Black List.
Blocco SMS - Blocca in automatico gli SMS indesiderati e di spam
Sicurezza Web - Blocca in automatico i siti web di phishing o contenenti malware.
Cloud Backup - Effettua il backup in Cloud dei tuoi dati personali.
Cancellazione da remoto - Cancella da remoto contatti, SMS e foto in caso di furto o perdita.
Localizzazione - Localizza su una mappa il tuo dispositivo rubato o perduto.

Presentato in esclusiva al meeting dello scorso 16 ottobre a Firenze, Quick Heal Total Security per Android è adesso disponibile per tutti voi s-mart point.
Per il mese di novembre inoltre si amplia la nostra grande offerta!

Se acquisti:
11 licenze Quick Heal di qualsiasi tipo ne ricevi 1 in omaggio + 5 Total Security per Android
22 licenze Quick Heal di qualsiasi tipo ne ricevi 3 in omaggio + 10 Total Security per Android
50 licenze Quick Heal di qualsiasi tipo ne ricevi 10 in omaggio + 20 Total Security per Android

Se volete maggiori informazioni su questo prodotto, contattate il vostro commerciale di riferimento oppure inviate una e-mail a info@s-mart.biz

Inoltre potete visitare anche la nuovissima versione del sito Quick Heal Italia: http://www.quick-heal.it/

Presto altre novità!!

Attenzione: nuovo ransomware in azione. Ecco quali precauzioni si dovrebbe prendere per prevenire la perdita dei dati

Poche settimane fa avevamo informato i nostri lettori circa CryptoLocker - un nuovo tipo di ransomware che si è scatenato su Internet. Questo post illustra alcuni fatti più importanti di questo malware, e le precauzuibu che si devono prendere per evitare che infetti il computer.

Che cosa è un ransomware?

Un ransomware è un programma dannoso che blocca il computer della vittima e lo rende non funzionale . Il malware richiede alla vittima a pagare una certa somma di denaro per sbloccare la macchina compromessa. Alcuni ransomware invece crittografano tutti i documenti e file del computer e chiedono soldi per poterli decifrare.

Che cosa è CryptoLocker?

CryptoLocker è un tipo di ransomware che si sta diffondendo ampiamente su Internet. Dopo aver invaso la macchina, CryptoLocker inizia la crittografia di tutti i tipi di file sul computer come immagini, video, documenti, presentazioni e fogli di calcolo. Una volta che ha criptato i file, si rivela nella forma di una pagina per il pagamento. La pagina informa l'utente che i file sul proprio computer sono stati crittografati. Per recuperarli, l'utente deve acquistare una chiave privata. Il riscatto tipico richiesto dal CryptoLocker è di $ 300. Inoltre, l' utente dispone di un periodo di tempo limitato per pagare il riscatto, dopo di che la chiave privata sarà distrutta e i file persi per sempre.





Purtroppo, una volta che CryptoLocker ha crittografato i file, non c'è modo di recuperarli fino a quando si ha la chiave privata. Quindi, si dovrebbe pagare il riscatto? Ci piacerebbe rispondervi con un sonoro NO.
Avete a che fare con i criminali veri e propri, che sono qui per estorcervi denaro. E non c'è certezza che vi consegneranno i file anche dopo aver effettuato il pagamento. Naturalmente i dati che avete perso potrebbe essere cruciali, ma si può perdere dati in diversi altri modi.
C'è una buona notizia però. I file che sono criptati da CryptoLocker, non sono accessibili dagli hacker. I file rimangono dove sono, sul vostro sistema, ma in forma crittografata.

Come si può prevenire una catastrofe causata da CryptoLokcer?

Nulla si adatterebbe meglio allo scenario di CryptoLocker che il detto: "Prevenire è meglio che curare". L'unico modo possibile per recuperare i dati crittografati da un attacco CryptoLocker è quello di prendere le giuste precauzioni. Eccole qua di seguito:

• Il backup è importante, ma con malware nefasti come CryptoLocker intorno, può davvero salvare la vita! Il malware attacca direttamente i tuoi file personali importanti, quindi la perdita di tali file può essere gestita solo con backup regolari. Fate copie di ogni file che è importante per voi e pianificate i vostri backup.

• Assicuratevi che nel computer sia in esecuzione un software antivirus che fornisce una protezione multistrato e che sia sempre aggiornato. Considerate che se il computer è già stato infettato da un backdoor [un accesso a un programma per computer che bypassa meccanismi di sicurezza], può essere utilizzato dagli hacker per installare CrytoLocker. Quindi utilizzare un antivirus affidabile riduce significativamente i rischi di un attacco CryptoLocker e di altri malware.

• Lo stesso vale per il sistema operativo del computer, software e browser. Teneteli patchati e aggiornati. Questo è un altro livello di precauzione che si deve prendere. Il malware può entrare nel vostro computer tramite siti web compromessi, buchi di sicurezza nel browser Internet e software dannosi. E come detto, CryptoLocker necessita solo di un malware esistente nel vostro sistema per fare il suo ingresso.

• Si consiglia vivamente di evitare di utilizzare gli account di amministratore per il vostro lavoro quotidiano. Un malware che attacca un account con privilegi elevati può fare danni irreparabili. Pertanto meglio utilizzare un account utente normale (che almeno riduce i rischi). Per istruzioni su come configurare un nuovo account con privilegi standard o a basso livello, si prega di seguire questi link, a seconda del sistema operativo in esecuzione: Windows 7, Windows Vista, Windows XP. [fonte: http://www.it.cornell.edu/]

• Poiché i siti web infetti o compromessi possono anche lasciare CryptoLocker nella vostra macchina, è una buona idea avere la funzionalità di protezione sandbox. Si tratta di una funzionalità di sicurezza avanzata per la navigazione sicura. Una volta che la funzione è attivata, lancia il browser Internet in un ambiente virtuale. Mentre si naviga all'interno del Sandbox, il sistema operativo del PC, locazioni di memoria, file e altre zone vitali sono controllati lontano dal browser. Quindi, anche se avvenisse una qualsiasi infezione, rimarrà confinata all'interno dell'ambiente virtuale senza influenzare il vero PC .

• CryptoLocker può anche attaccarvi sotto forma di allegati e-mail. Un modo semplice per evitare questo rischio è di cestinare mail non richieste e indesiderate. Prestate particolare attenzione nei confronti di mail inaspettate che parlano di lotteria, corrieri non inviati e quelle provenienti da banche e istituzioni finanziarie.

Nota: Recentemente ci siamo imbattuti in un nuovo ransomware che va sotto il nome di Anti-Child Porn Spam Protection. Questo afferma che il computer bersaglio sta spammando link dei siti web di pornografia infantile e sostiene di aver criptato i dati del computer al fine di proteggere l’utente e altri da tali messaggi di spam. Questo messaggio è seguito dalla richiesta di una certa somma di denaro per ottenere una password per recuperare i dati. Anche in tali casi, si prega di non pagare alcuna somma.

Dati i crescenti casi di ransomware e le sue varianti, invitiamo i nostri lettori a prendere in seria considerazione le misure precauzionali elencate in questo post.

Fonte: http://blogs.quickheal.com

L'antivirus Dr.Web per Android ha rilevato oltre undicimilioni di minacce mobile a settembre

2 ottobre 2013

A settembre 2013 il monitor residente di Dr.Web per Android ha rilevato sui dispositivi protetti oltre undicimilioni di programmi dannosi o potenzialmente pericolosi, mentre oltre quattromilioni di malware sono stati scoperti durante scansioni avviate dagli utenti.

L'analisi delle informazioni statistiche raccolte dall'antivirus Dr.Web per Android ha mostrato che a settembre 2013 i nostri utenti hanno avviato la scansione circa diciassettemilioni di volte di cui in oltre quattromilioni di casi sul dispositivo sono stati trovati programmi malevoli o sospetti. Il numero reale di minacce rilevate è ancora più grande poiché tutte le minacce trovate durante una scansione si elencano nella stessa finestra come un singolo caso di rilevamento.

Mentre lo scanner si avvia a richiesta dell'utente, il monitor antivirale funziona ininterrottamente in tempo reale. Nel periodo dal 1° al 30 settembre 2013, il monitor dell'antivirus Dr.Web per Android è scattato circa 11.500.000 di volte rilevando programmi malevoli o tentativi di installare o copiare tali programmi sul dispositivo mobile. Ogni giorno si registravano circa 450.000 casi di rilevamento, mentre il numero più grande di minacce (489.357) è stato scoperto il 21 settembre. 


È stata analizzata la posizione geografica dei dispositivi mobili su cui, secondo le statistiche, il monitor dell'antivirus Dr.Web per Android trovava programmi malevoli. La maggioranza dei dispositivi si trova in Russia (oltre 3.500.000 di casi), al secondo posto sta Arabia Saudita (1.800.000 di casi) seguita da Iraq con una cifra di 1.700.000 milioni. Il quarto posto è occupato da Ucraina (670.000 rilevamenti). L'immagine di seguito mostra la distribuzione geografica dei dispositivi Android su cui sono state rilevate minacce informatiche a settembre 2013.

Distribuzione geografica delle minacce rilevate dal monitor di Dr.Web per Android

Per quanto riguarda lo scanner di Dr.Web per Android, le statistiche della distribuzione per paese sono quasi le stesse con poche differenze. 145.564 minacce sono state rilevate sui dispositivi degli utenti pakistani, 113.281 casi di rilevamento sono stati registrati in Malaysia e 103.192 casi in Vietnam. Una cosa interessante: sebbene i giapponesi costituiscano una parte considerevole del totale degli utenti di Dr.Web per Android (9,45%), sono abbastanza rari i casi di rilevamento di malware sui loro dispositivi: le minacce rilevate dal monitor sono 54.767 e quelle trovate durante scansioni a richiesta sono 4.324. Per il numero generale di infezioni Giappone si trova al cinquantaquattresimo posto tra gli altri paesi. Questo potrebbe provare in modo indiretto che gli utenti giapponesi conoscono molto bene la situazione nella sfera della sicurezza informatica e sono prudenti nell'utilizzo delle applicazioni per il SO Android.

Le minacce per Android più diffuse sono, come prima, i trojan della famiglia Android.SmsSend. Al secondo posto per il numero di versioni conosciute stanno i trojan della famiglia Android.SmsSpy e il terzo posto è occupato dagli spyware Android.Spy. Inoltre, sono molto diffusi i programmi Android.DownLoader, Android.Backdoor, Android.Gingersploit, Android.Basebridge e Android.Fakealert, nonché diversi adware, per esempio: "not a virus Tool.SMSSend", "not a virus Tool.Rooter" e "not a virus Adware.Airpush". I dati statistici riportati sopra mostrano che i malware per Android sono un serio problema per i proprietari dei dispositivi mobili i quali dovrebbero pensare a procurarsi strumenti di protezione adeguati se non ne hanno ancora. Il team di Doctor Web segue gli sviluppi della situazione.

Fonte

Il malware Android che sfrutta Simple Mail Transfer Protocol

Parlando di nuovi e sofisticati malware Android, potremmo avere un vincitore. Infatti, è appena apparso un malware che utilizza i server Simple Mail Transfer Protocol (SMTP) per inviare le informazioni rubate all'autore del malware. Quando si tratta di sofisticatezza, questo malware mobile è noto per superare la maggior parte delle famiglie di malware.

Parte della complessità del malware mobile deriva dal suo alto livello segretezza. Questo perché tali tipi di malware possono accedere ai "privilegi da amministratore" del dispositivo.

Alcune brevi notizie su l'SMTP Android

Che cos'è e cosa fa?

- Android.Agentsmtp è un Trojan.

- Viene installato nel dispositivo della vittima, come una vera e propria applicazione che simula "GoogleService".

Attività del malware

Ecco come funziona SMTP Android una volta installato:

- Una volta lanciato Android.AgentSmtp, esso continua a chiedere all'utente di concedere i privilegi da amministratore.

- Lo schermo visualizza due opzioni - "Attiva" e "Annulla"

- Anche se l'utente seleziona "Annulla", l'applicazione maligna acquisisce i privilegi da amministratore lo stesso.


Altri fatti:

- Quando una qualsiasi applicazione guadagna i privilegi da amministratore, appare la casella di controllo nella seguente posizione:

Impostazioni --> Sicurezza --> Amministratori dispositivo --> Nome app

- Dopo aver ottenuto i privilegi da amministratore, l'applicazione esegue le seguenti attività, all'insaputa della vittima:

1. Raccoglie numeri di telefono
2. Raccoglie SMS
3. Registra audio - mantiene anche traccia delle chiamate di inizio e fine chiamata
4. Invia tutte le informazioni rubate al server SMTP smtp.126.com

Sul blog Quick Heal trovate anche il codice maligno del malware: LINK

Scoperta una botnet Android, la più grande del mondo

20 settembre 2013

Doctor Web — produttore russo di software antivirus — ha scoperto un'ampia rete dannosa composta da dispositivi mobili Android. Oggi sappiamo di oltre duecentomila dispositivi, infettati dai malware Android.SmsSend, che sono intrappolati in questa botnet. Le fonti principali di infezione in questo caso sono risorse di Internet malevole o violate. La maggior parte dei dispositivi compromessi appartiene agli utenti russi, è grande anche la quantità di bot in Ucraina, Kazakistan e Bielorussia. Secondo le stime preliminari, il danno causato agli utenti potrebbe ammontare ad alcune centinaia di migliaia di dollari.

Per infettare gli smartphone, i malintenzionati hanno utilizzato diverse applicazioni malevole, tra cui il nuovo trojan Android.SmsSend.754.origin e i malware: Android.SmsSend.412.origin (conosciuto da marzo 2013, si propaga sotto forma di un browser mobile), Android.SmsSend.468.origin (conosciuto da aprile 2013) e Android.SmsSend.585.origin che si maschera da un client mobile del social network "OK", conosciuto dal software Dr.Web da giugno 2013. La versione più vecchia dei malware — Android.SmsSend.233.origin — notata nel corso dell'analisi della botnet è stata aggiunta ai database virali Dr.Web ancora a novembre 2012. Nella maggior parte dei casi, le fonti di infezione sono stati siti dei malintenzionati e siti violati che propagano programmi malevoli.

Il trojan Android.SmsSend.754.origin è un applicazione con il nome Flow_Player.apk. Una volta penetrato nel sistema operativo, il trojan chiede di avere i privilegi di amministratore del dispositivo per controllare il blocco del display. In seguito l'applicazione malevola nasconde la sua icona dalla schermata principale del dispositivo.

Dopo aver completato la procedura di installazione, il trojan manda ai malintenzionati le informazioni sul dispositivo infettato, quali l'identificatore unico IMEI, il credito del conto di telefonia, il codice paese, il numero di telefono, il codice dell'operatore di telefonia, il modello del dispositivo e la versione del sistema operativo. Quindi l'Android.SmsSend.754.origin attende la ricezione di un comando dei malintenzionati. Secondo il comando, il trojan può mandare un SMS con un testo prestabilito a un numero assegnato, spedire SMS in massa a una lista di contatti, aprire nel browser un URL assegnato o visualizzare sullo schermo del dispositivo un messaggio con un determinato titolo e testo.

I dati raccolti da Doctor Web mostrano che attualmente la botnet comprende oltre duecentomila dispositivi Android infetti di cui il numero più grande appartiene agli utenti russi (128.458), al secondo posto si trova Ucraina con 39.020 bot seguita da Kazakistan: 21.555 dispositivi compromessi. La distribuzione per paese è mostrata sulla seguente immagine.





Il diagramma mostra la distribuzione per operatore di telefonia mobile.

Il numero di smartphone Android diventati vittime in questo incidente è uno dei numeri più grandi che sono stati registrati nel semestre corrente. Secondo le stime preliminari di Doctor Web, il danno causato agli utenti potrebbe ammontare a diverse centinaia di migliaia di dollari.

Al momento tutte le minacce menzionate sopra possono essere rilevate ed eliminate dal software Dr.Web. Agli utenti dei dispositivi Android consigliamo di evitare di scaricare e di installare applicazioni da siti inattendibili. Doctor Web segue ulteriori sviluppi della situazione.

Fonte: http://www.freedrweb.com/show/?i=3929&c=19&lng=it

Microsoft: Security Essentials è stato progettato per essere in fondo alla classifica antivirus

L'antivirus gratuito di Microsoft, Security Essentials, era già stato stroncato dai maggiori test antivirus (primo su tutti AV-Test), ma adesso arriva anche l'ammissione della stessa Microsoft.

Come si legge in questo articolo, l'azienda ammette che il loro è un antivirus "baseline", che sarà sempre in fondo alle varie classifiche antivirus. Questo non vuol dire necessariamente che sia un prodotto completamente da buttare, ma consigliano comunque di affiancarlo ad un software antivirus di terze-parti.

Fonte: http://www.pcpro.co.uk

Nuova versione Dr.Web 9.0 per Windows e Mac OS X

Doctor Web — produttore russo di software antivirus — rilascia la nona versione dei prodotti Dr.Web Security Space e Dr.Web Antivirus per il SO Windows.

Nella versione Dr.Web 9.0 per Windows, è stata implementata una serie di innovazioni che ha permesso di rafforzare la protezione contro le minacce più recenti. La nuova analisi comportamentale Dr.Web rileva rapidamente le varianti più recenti dei trojan Encoder. Le informazioni dell'utente sono protette contro eventuali danneggiamenti provocati dai malware. Dr.Web rileva con maggiore efficienza i malware conosciuti nascosti dai packer nuovi. I miglioramenti nel file monitor SpIDer Guard e nel servizio Dr.Web Cloud hanno consentito di ridurre notevolmente il consumo delle risorse del sistema e hanno reso l'antivirus ancora più leggero. Con la nona versione di Dr.Web per Windows si possono usare in maniera sicura i motori di ricerca e programmi di messaggistica istantanea. Le modifiche apportate al firewall Dr.Web hanno diminuito drasticamente il numero di casi in cui il firewall chiede all'utente di creare una regola.

Novità! Analisi comportamentale Dr.Web Process Heuristic — una protezione efficace contro le minacce più recenti. I trojan costituiscono pressoché il 90% delle minacce reali: oggi le famiglie di trojan Winlock, Encoder, Inject, Exploit infastidiscono gli utenti non solo in Russia, ma anche in altri paesi del mondo. Per creare la tecnologia Dr.Web Process Heuristic, il team di Doctor Web ha studiato per alcuni anni il comportamento dei trojan appartenenti a diverse famiglie. Utilizzando queste conoscenze Dr.Web Process Heuristic rileva una minaccia quasi istantaneamente, prima che possa causare un serio danno al computer o alle informazioni dell'utente. Siccome il comportamento dei trojan appartenenti alla stessa famiglia è simile, Dr.Web Process Heuristic può rilevare programmi malevoli ancora sconosciuti dal database Dr.Web, in particolare, nuove varianti di Trojan.Encoder e di Trojan.Inject.

Novità! Protezione delle informazioni dell'utente da eventuali danneggiamenti — una reale possibilità di salvaguardare file preziosi. La funzione di protezione dati è prevista per i casi quando un malware è già riuscito a eseguire alcune azioni dannose nel sistema. Per mettere al sicuro i file più importanti, l'utente può scegliere alcune cartelle e l'antivirus creerà copie di backup protette dei file in queste cartelle. In seguito questi file potranno essere ripristinati da queste copie, se necessario. Una volta create le copie protette, l'antivirus salva soltanto le modifiche apportate ai file originari. Il salvataggio si esegue a cadenze regolari impostate dall'utente, altrimenti l'utente può eseguire il salvataggio manualmente. Dobbiamo notare però che questa funzione non è equivalente a un backup completo di tutti i dati conservati sul computer. È piuttosto una parte della protezione contro le minacce individuate tramite l'analisi comportamentale Dr.Web: adesso l'utente può ripristinare da solo, senza ricorrere al supporto tecnico di Doctor Web, i dati che sono stati danneggiati prima che Dr.Web Process Heuristic abbia potuto rilevare la minaccia corrispondente.

Novità! Analisi integrata delle minacce pacchettate — un rilevamento efficace degli oggetti malevoli conosciuti, nascosti sotto packer nuovi. Questa tecnologia utilizza l'analisi comportamentale Dr.Web Process Heuristic e consente di riconoscere una minaccia non appena è iniziato il processo dannoso comparandolo ai record già esistenti del database virale. Rende più efficace il rilevamento delle minacce apparentemente nuove, cioè di quelle vecchie pacchettate in un modo insolito per non essere riconosciute dall'antivirus.

Miglioramento! Più alta velocità di scansione — ottimizzati i componenti SpIDer Guard e Dr.Web Cloud. Grazie al modificato sottosistema di scansione del componente SpIDer Guard, sono state migliorate le prestazioni Dr.Web sulle macchine con un trasferimento di file intenso (download di file da tracker dei torrent e di condivisione, compilazione e rendering). Inoltre, per accelerare la scansione, è stato modificato anche il servizio cloud (al tentativo di aprire un sito questo servizio manda l'URL sui server di Doctor Web per essere controllato in tempo reale).

Novità! Nuovo sistema di scansione completa di qualsiasi informazione trasferita — si bloccano tutte le vie su cui i virus potrebbero entrare sul computer da Internet. Si controllano i dati (anche quelli cifrati) trasmessi attraverso tutti i protocolli supportati dai componenti SpIDer Mail e SpIDer Gate. I dati si controllano su tutte le porte — non si può evitare controllo cambiando la porta di trasferimento. È stata implementata la funzione "Safe search": i risultati di una ricerca eseguita da Google, Yandex, Yahoo!, Bing, Rambler includono soltanto siti web sicuri. I contenuti non sicuri vengono filtrati dai motori di ricerca tramite le funzioni e impostazioni appropriate. Inoltre, adesso l'antivirus protegge la comunicazione mediante programmi di messaggistica istantanea, quali Mail.Ru Agent, ICQ e Jabber. I dati si filtrano, i link che conducono su siti malevoli o fraudolenti vengono cancellati dai messaggi. Si esegue un controllo antivirale degli allegati ai messaggi, e se un file è potenzialmente pericoloso, la sua spedizione viene impedita.

Novità! Nella versione Dr.Web 9.0 per Windows, il Parental control consente di impedire la modificazione dell'ora e del fuso orario di sistema perciò i figli non potranno utilizzare il computer nelle ore non permesse dai genitori. Inoltre, tramite questo componente si può impedire l'invio di task alla stampante, il che protegge da una stampatura non autorizzata di documenti confidenziali e permette di risparmiare carta e cartuccia.

Novità! Blocco dell'accesso a siti "pirata" — protezione dei titolari dei diritti d'autore. Con le impostazioni opportune, il componente SpIDer Gate adesso può bloccare l'accesso a siti che divulgano contenuti senza consenso degli autori. Se l'utente cerca di visitare tali siti, Dr.Web visualizza un avviso che informa dell'impossibilità di passare al sito "pirata" e propone di usare il sito del titolare dei diritti d'autore. L'elenco dei siti con contenuti pubblicati senza consenso degli autori verrà aggiornato a richiesta dei titolari dei diritti d'autore.

Novità! Firewall Dr.Web aggiornato — massima convenienza di utilizzo. Se in precedenza il firewall utilizzava un database di applicazioni preinstallato e le regole definite dall'utente, adesso dispone dei dati che permettono di individuare le applicazioni affidabili (legittime dal punto di vista Dr.Web). Tali applicazioni possono connettersi a qualsiasi URL su qualsiasi porta. Questo nuovo metodo riduce al minimo il numero di domande che il firewall fa all'utente nel corso di configurazione.

La nuova versione è disponibile sia per sistemi operativi Windows che per Mac OS X.

Fonte: http://news.drweb.com/show/?i=3897&lng=en&c=14

Nuovo trojan per Linux è munito di un vasto arsenale di funzioni dannose

Fonte: http://www.freedrweb.com/show/?i=3868&c=19&lng=it

Doctor Web — produttore russo di software per la sicurezza informatica — informa che è stato rilevato un nuovo malware per Linux, nominato Linux.Hanthie. Un'indagine mostra che questo trojan (anche conosciuto come Hand of Thief, cioè "mano del ladro" in inglese) dispone di molteplici funzioni dannose e può nascondere la sua presenza nel sistema dai programmi antivirus.

Oggi questo programma malevolo ha una grande popolarità sui forum clandestini di hacker, dove i malintenzionati lo vendono attivamente. Il prodotto Linux.Hanthie si posiziona come un bot della classe FormGrabber o un BackDoor per il SO Linux che dispone di funzioni anti-rilevamento e di un caricamento automatico nascosto, non richiede i privilegi di amministratore e usa la crittografia forte (256 bit) per la comunicazione con il pannello di controllo. Il bot può essere configurato in modo flessibile mediante il file di configurazione.

Quando è avviato, il trojan blocca l'accesso del computer agli indirizzi da cui si scaricano software o aggiornamenti antivirali. Il trojan può resistere all'analisi e all'avvio in ambienti isolati o virtuali.

La versione corrente di Linux.Hanthie non ha meccanismi di replicazione automatica perciò sui forum di hacker i creatori del trojan consigliano di propagarlo tramite metodi del social engineering. Il trojan può funzionare in diverse distribuzioni Linux, comprese Ubuntu, Fedora e Debian, e supporta otto tipi di ambienti desktop, per esempio GNOME e KDE.

Una volta avviato, l'installer del malware verifica la propria presenza nel sistema e controlla se sul computer sia in esecuzione una macchina virtuale. Quindi Linux.Hanthie si installa nel sistema creando un file di esecuzione automatica e collocando una copia di se stesso in una cartella sul disco. Nella cartella di file temporanei, il trojan crea una libreria eseguibile e cerca di incorporarla in tutti i processi in esecuzione. Se il trojan non riesce a incorporare la libreria in qualche processo, dalla cartella temporanea avvia un nuovo file eseguibile la cui unica funzione è interagire con il server di controllo e quindi elimina la copia iniziale.

Il trojan è composto da più moduli funzionali, uno dei quali è una libreria che contiene il payload principale del malware. Utilizzando questa libreria, il trojan incorpora un "grabber" (un programma ideato per rubare dati) nei browser Mozilla Firefox, Google Chrome, Opera, nonché nei browser Chromium e Ice Weasel che funzionano esclusivamente sotto Linux. Il "grabber" consente di intercettare le sessioni HTTP e HTTPS e di inviare ai malintenzionati i dati inseriti dagli utenti in formulari su diverse pagine web. Inoltre, questa libreria svolge le funzioni di un backdoor, e in tale caso i dati scambiati con il server di controllo vengono cifrati.

Il trojan può eseguire sulla macchina infettata alcuni comandi impartiti su remoto. Per esempio, il comando "socks" avvia un proxy server, il comando "bind" lancia uno script che ascolta le porte, il comando "bc" connette il computer al server remoto, il comando "update" scarica e installa una versione aggiornata del trojan e il comando "rm" rimuove il trojan stesso. Al tentativo di accedere agli script avviati "bind" o "bc", il trojan restituisce nella console il seguente messaggio:

Un altro modulo consente al trojan di realizzare alcune funzioni senza eseguire inject.

La firma antivirale corrispondente è stata aggiunta ai database del software Dr.Web che rileva e rimuove il trojan con successo.

Prima utility per decriptare file cifrati dal Trojan.Encoder.252

Doctor Web — produttore russo di software per la sicurezza informatica — ha creato un'utility che può decriptare file cifrati dal Trojan.Encoder.252. Gli encoder sono programmi malevoli che criptano file memorizzati sul computer compromesso dopo di che i malintenzionati domandano all'utente di pagare una somma per la possibilità di recuperare i dati. La sopraindicata versione del malware giunge sui computer delle vittime soprattutto nelle email infette che contengono false notifiche di una corte di arbitrato.

Comunemente, il trojan si propaga dentro email malevole che imitano notifiche di una corte di arbitrato. Una volta penetrato sul computer bersaglio, il malware salva la sua copia in una delle cartelle di sistema sotto il nome svhost.exe, modifica il ramo del registro di sistema ideato per l'esecuzione automatica di applicazioni e si avvia.

Il Trojan.Encoder.252 cripta file solo se il computer compromesso ha una connessione a Internet. Il malware controlla una dopo altra le unità disco da C: a N: e stende un elenco di file da cifrare il quale poi salva in un file di testo. Le estensioni di file da criptare sono .jpg, .jpeg, .doc, .rtf, .xls, .zip, .rar, .7z, .docx, .pps, .pot, .dot, .pdf, .iso, .ppsx, .cdr, .php, .psd, .sql, .pgp, .csv, .kwm, .key, .dwg, .cad, .crt, .pptx, .xlsx, .1cd, .txt, .dbf. Quindi il Trojan.Encoder.252 controlla se sono disponibili i server remoti su cui in seguito invia la chiave di cifratura. Se i server non sono disponibili, il trojan mette sullo schermo un avviso che sarebbe una notifica della corte di arbitrato in cui invita l'utente a verificare la configurazione della connessione di rete. Se il trojan è riuscito a criptare i file, ai nomi dei file viene aggiunta la parola Crypted. Oltre a ciò, l'encoder imposta come sfondo desktop il seguente immagine con un testo in russo che da spiegazioni all'utente come recuperare i suoi dati pagando un riscatto. In particolare, i malintenzionati consigliano all'utente di trovare nel file LEGGIQUESTO.txt appositamente generato sul computer un ID di decifratura unico per ciascun computer e di inviarlo al loro indirizzo email.

Sebbene molte risorse del web ritenessero impossibile la decifratura dei file a causa di algoritmi speciali utilizzati dal Trojan.Encoder.252, il team di Doctor Web ha potuto creare un'utility che può eseguire la decifratura. Il processo richiede molto tempo (un mese) se eseguito su un computer di casa, ma su un server potente con ventiquattro processori una chiave di cifratura è stata trovata in venti ore. L'utility è diventata una sorte di banco di collaudo per le idee innovative del team di Doctor Web — tutte queste idee saranno applicate in futuro per la decifratura di file criptati da encoder. Intanto stiamo cercando nuovi metodi per combattere encoder.

Se le Vostre informazioni sono tenute in ostaggio dal Trojan.Encoder.252, seguite queste semplici regole che Vi aiuteranno a recuperare i file cifrati:

• non modificate le estensioni dei file criptati;
• non reinstallate il sistema operativo — in tale caso non sarà più possibile recuperare i dati;
• non provate di "ripulire" o di curare il sistema operativo tramite diverse utility e applicazioni speciali;
• non eseguite le utility Dr.Web senza aver parlato prima con i nostri analisti dei virus;
• fate una denuncia alla polizia;
• contattate il laboratorio antivirale di Doctor Web, inviateci un file .doc criptato dall'encoder e aspettate una risposta dei nostri analisti.

Vi ricordiamo che a causa del grande numero di richieste di assistenza forniamo assistenza personale per il recupero di file cifrati solo agli utenti dei prodotti Dr.Web con licenza. Inoltre, vi consigliamo di non trascurare la necessità di fare a cadenze regolari copie di backup di tutte le informazioni custodite sul computer.

Fonte: http://www.freedrweb.com/show/?i=3824&c=19&lng=it

Arrivano, si nascondono, e rovinano tutto - Android.Obad e Android.Fakedefender

Sembra che gli autori di malware stiano provando di tutto per colpire la piattaforma Android. Stanno tentando qualsiasi cosa; l’ultimo attacco ha la forma di due malwares, ossia Android.Obad e Android.Fakedefender. Nel resto del post è riportato cosa sono questi due malware e come agiscono.

Android.Obad e Android.Fakedefender sono più sofisticati rispetto alle tipiche famiglie dei malware. È stato scoperto che questi malware possono sfruttare i privilegi di amministratore e aumentare così il loro livello di segretezza dopo l’installazione nel dispositivo.

Informazioni su Android.Obad

Cos’è?

 - Android.Obad è un Trojan.

- Si presenta come una vera e propria applicazione.

Cosa fa?

- Invia Sms a numeri a pagamento, con il risultato di rappresentare costi extra per gli utenti.

- È in grado di scaricare applicazioni dannose, mandarle ad altri dispositivi tramite Bluetooth, ed agire in remoto compiendo azioni dannose.

Come riesce a ottenere i privilegi da amministratore?

- Una volta che Android.Obad si avvia, continua a chiedere all’utente di concedere l’utilizzo dei privilegi da amministratore. Il tasto “Cancella” è disabilitato, quindi l’utente è costretto a premere l’unica opzione possibile, ovvero “Attiva” come mostrato nell’immagine seguente.

Altre informazioni

- Una volta che il malware accede ai privilegi di amministratore, si nasconde nel sistema del dispositivo lasciando l’utente senza possibilità di rimuovere l’applicazione attraverso le Impostazioni.

- Android.Obad fa largo uso dei reflection code, che aiutano a nascondere i codici malevoli agli occhi delgli analizzatori malware. Le stringhe utilizzate ed i nomi delle funzioni sono cifrati con strati multipli usando tecniche polimorfiche.

- I programmi Android sono compilati in file DEX (Dalvik Executable), che sono a loro volta compressi in un unico file APK sul dispositivo. Il malware Android.Obad pone sfide per il reverse engineering, creando appositamente file DEX, che la maggior parte degli strumenti non riescono a decodificare.

Android.Obad sfrutta le seguenti vulnerabilità, il che rende difficile per gli analisti decodificarlo.

- AndroidManifest.xml modificato: il malware lascia alcuni dei componenti del file manifesto. A causa di questo, l'ambiente di analisi dinamica non riesce a fare una analisi automatizzata del malware. Tuttavia, tale file viene elaborato correttamente dal sistema operativo dello smartphone e il malware viene eseguito in ambiente reale.

- Errore nello strumento Dex2Jar: Dex2jar è uno strumento popolare usato per decodificare malware Android. Questo non riesce a decompilare o decompila in modo errato il malware così che l'analisi statica diventi difficile.

- Privilegi da amministratore: come discusso in precedenza, Android.Obad prende i diritti amministrativi del dispositivo in maniera tale da potersi nascondere e non apparire nella lista degli amministatori del dispositivo.

Informazioni su Android.Fakedefender

Che cosa è?

- Android.Fakedefender è un trojan.

- Per essere visualizzato, utilizza le icone delle applicazioni popolari come Facebook e Skype.

- Dopo che è stato installato, viene visualizzato sul telefono come “Android Defender”.

Che cosa fa?

- Una volta che Android.Fakedefender viene lanciato, continua a chiedere all'utente di concedergli i privilegi di amministratore. Indipendentemente dalla scelta dell'utente questi gli vengono concessi.

- Il malware inizia a notificare l'utente della presenza di malware o altre minacce alla sicurezza che in realtà sono inesistenti.

- Il malware continua a inviare tali messaggi per spaventare l'utente e spingerlo ad acquistare applicazioni per rimuovere le minacce. Infatti questo malware è conosciuto anche come “scareware”.

- In alcuni casi, il malware può impedire alla vittima di fare qualsiasi altra cosa sul loro telefono cellulare, fino a quando non viene effettuato un pagamento.

- Il malware raccoglie anche informazioni utente come numero di telefono, versione del sistema operativo, produttore del dispositivo, ubicazione, ecc e lo invia a un server remoto.

- La parte peggiore di questo malware è la sua capacità di interferire con le applicazioni in grado di avvertire l'utente sulle minacce reali alla sicurezza.

Nota: Proprio come Android.Obad, è difficile rimuovere anche Android.Fakedefender una volta che è stato installato sul dispositivo. Questo perché cambia le impostazioni del dispositivo in modo che l'utente non sia in grado di effettuare un normale reset di fabbrica.

Vorremmo vivamente consigliare agli utenti di stare attenti alle applicazioni che richiedono i privilegi da amministratore.

Definizioni di alcuni termini usati nel post:

Analisi statica - L’analisi statica è l'analisi di un software o un programma che viene fatta senza eseguire realmente il software.

Analisi dinamica - L’analisi eseguita su programmi in esecuzione è conosciuta come analisi dinamica.

Decodificazione - Decodificazione (Reverse engineering) si riferisce al processo che studia la funzione e il flusso di informazioni di un software o hardware al fine di determinarne i principi tecnologici.

Reflex Code - Il reflex code si riferisce alla capacità di un programma per computer di esaminare (vedi tipo introspezione) e modificare la struttura e il comportamento (in particolare i valori, i meta-dati, le proprietà e funzioni) di un oggetto in fase di esecuzione.

File APK - File di pacchetto di applicazioni Android (APK) è il formato di file utilizzato per distribuire e installare il software applicativo e middleware sul sistema operativo Android di Google.

Analisi automatica - L’analisi automatica si riferisce a un processo che consente agli analisti delle minacce malware di configurare ambienti di test controllati, dove possono eseguire e controllare il malware in modo automatico.

Fonte: http://blogs.quickheal.com/wp/they-come-they-hide-and-they-mess-up-android-obad-and-android-fakedefender/

Falla di Android scoperta di recente facilita la propagazione di un malware

Fonte: http://news.drweb.com/?i=3789&c=5&lng=ru&p=0

31 luglio 2013

Doctor Web — produttore russo di programmi per la sicurezza informatica — ha scoperto la prima applicazione malevola che si diffonde sfruttando una falla del SO Android conosciuta da poco tempo, nominata Master Key. Il malware Android.Nimefas.1.origin è in grado di mandare SMS dal cellulare compromesso, di trasferire informazioni private ai malintenzionati e anche consente di eseguire sul dispositivo una serie di comandi impartiti su remoto. Adesso il trojan si nasconde in numerosi giochi e programmi per Android scaricabili da un sito di applicazioni cinese. Tuttavia, non possiamo escludere che presto sbucheranno altri programmi ideati per sfruttare la vulnerabilità Master Key e che la minaccia sarà presente anche in altri paesi.

Dal momento in cui sono state divulgate le informazioni sulla vulnerabilità Master Key, gli specialisti della sicurezza informatica hanno supposto che i malintenzionati si sarebbero avvalsi della falla dato che dal punto di vista tecnico questo errore di programma è facilmente sfruttabile. Meno di un mese dopo la divulgazione delle informazioni su questa falla è comparsa, infatti, un'applicazione malevola che la sfrutta.

Il trojan scoperto da Doctor Web è stato classificato come Android.Nimefas.1.origin. Si propaga in applicazioni per Android, in un file dex modificato dai malintenzionati che si trova accanto al file dex originario di un programma. Vi ricordiamo che la vulnerabilità Master Key consiste nella particolarità del SO Android nel controllo delle applicazioni da installare. Se, infatti, un pacchetto apk contiene due file con un nome uguale memorizzati in una sottocartella, il sistema operativo Android verifica la firma digitale del primo file, ma installa il secondo file senza averlo controllato. Così viene aggirato il meccanismo protettivo di Android ideato per evitare l'installazione di applicazioni modificate da terzi.

L'illustrazione sottostante mostra un esempio del programma modificato dal trojan Android.Nimefas.1.origin: 

Una volta avviato sul dispositivo mobile, il trojan controlla se è attivo almeno un servizio delle applicazioni antivirali cinesi.

Se ne ha trovato almeno uno, Android.Nimefas.1.origin controlla la disponibilità dell'accesso root cercando i file "/system/xbin/su" o "/system/bin/su". Se vi sono tali file, il trojan interrompe il suo funzionamento. Se nessuna delle condizioni viene soddisfatta, il malware continua le sue attività dannose.

In particolare, Android.Nimefas.1.origin invia l'identificatore IMSI a un numero selezionato in modo arbitrario da una lista predisposta.

Successivamente, il trojan invia SMS a tutti i contatti memorizzati nella rubrica del telefonino infetto. Scarica il testo dei messaggi da un server remoto, e carica sullo stesso nodo le informazioni dei contatti utilizzati per l'invio di SMS. Il trojan è in grado di inviare qualsiasi messaggio a diversi numeri telefonici. Le informazioni necessarie per tale attività (il testo da mandare e i numeri telefonici) si trovano sul server di comando.

Inoltre, il trojan può nascondere dall'utente messaggi in arrivo. Il filtro dei numeri o del testo da applicare ai messaggi viene scaricato dal server dei malintenzionati.

Per il momento, è già stato interrotto il funzionamento del server di comando utilizzato dai malintenzionati per amministrare il programma malevolo.

Adesso il trojan Android.Nimefas.1.origin rappresenta il pericolo più grande per gli utenti cinesi poiché si propaga in giochi e applicazioni scaricabili da uno dei cataloghi di applicazioni cinesi. Gli amministratori di questa risorsa sono stati avvisati del problema. Ciononostante, non possiamo escludere che presto aumenterà il numero di programmi che sfruttano la falla Master Key e che di conseguenza diventerà più vasta la geografia di propagazione della minaccia. Fino a quando i produttori dei dispositivi Android non metteranno a disposizione un aggiornamento di sicurezza che copra la lacuna, molti utenti corrono il rischio di essere danneggiati dalle attività di simili applicazioni malevole. Siccome molti dispositivi disponibili già sul mercato non sono supportati dai produttori, si teme che gli utenti di tali dispositivi rimarranno senza alcuna protezione.

Tutti gli utenti dei prodotti antivirali Dr.Web per Android sono protetti dal malware Android.Nimefas.1.origin. Il trojan viene rilevato dal metodo Origins TracingTM. Inoltre, il file apk contenente questo malware viene rilevato dall'antivirus Dr.Web che lo riconosce come Exploit.APKDuplicateName.

Nuovi trojan su Google Play: probabili 25000 download

Fonte: http://www.freedrweb.com/show/?i=3771&c=19&lng=it

Doctor Web — produttore russo di software antivirus — comunica di aver scoperto nel catalogo Google Play alcuni programmi malevoli che installano sui dispositivi mobili trojan della famiglia Android.SmsSend, un tipo di malware che invia dal cellulare messaggi a pagamento svuotando il conto dell'utente. L'incidente è stato riferito subito alla società Google.

I programmi individuati dagli specialisti di Doctor Web sono stati creati da uno sviluppatore vietnamita, con il nome di AppStore Jsc, e sono due lettori audio e un lettore video che visualizza filmati erotici.

Utilizzando le statistiche di Google Play riportiamo il numero di utenti che hanno installato le applicazioni nella tabella sottostante:

Nome app	Nome pacchetto	Numero download
Phim Sex HD-Free	phimsex.videoxxx.clipsex.phimnguoilon.phimconheo.tinhduc	5000–10000
Zing MP3 - BXH Music	phimsexy.mp3.zing.vn.nhaccuatui.bangxephang.bxh.nhachot	5000–10000
Phim Nguoi Lon - Audio 18+	zingmp3.audio18.truyennguoilon.audiotinhduc	1000–5000

Il numero totale di installazioni delle tre applicazioni è da undici a venticinquemila.

Queste applicazioni non sembrano niente di speciale, però hanno dentro un file apk che è un trojan ideato per l'invio di SMS, membro della famiglia Android.SmsSend. Quando le applicazioni - dropper, nominati da Dr.Web Android.MulDrop, Android.MulDrop.1 e Android.MulDrop.2, sono in esecuzione, potrebbe visualizzarsi una proposta di scaricare contenuti di interesse. Tuttavia se l'utente acconsente, invece del download dei contenuti richiesti, comincia l'installazione di un'altra applicazione. Sulla figura sottostante, per esempio, uno dei dropper propone all'utente di ricevere nuovi filmati erotici.




Se un utente poco prudente accetta l'installazione del programma sospetto, sul dispositivo Android viene installato il trojan Android.SmsSend.517 che invia SMS di nascosto sul numero breve 8775, specificato nel file di configurazione del malware. Va notato che l'applicazione malevola permette effettivamente di guardare video desiderati dall'utente. Ovviamente, questa funzione è stata aggiunta dai malintenzionati affinché l'app susciti meno sospetti.




Per quello che riguarda la seconda e la terza applicazione – dropper, includono il programma Android.SmsSend.513.origin il cui funzionamento è simile a quello di Android.SmsSend.517, ma a differenza di quest'ultimo, i numeri brevi per l'invio di SMS vengono trasmessi al malware dal server di comando.

Google è stata informata dell'incidente. Gli utenti dei prodotti di sicurezza Dr.Web per Android sono completamente protetti da questi malware con le relative definizioni inserite nel database dei virus.

Altri aggiornamenti da Dr.Web

Aggiornato Dr.Web per Android Light 7.0

25 luglio 2013

Doctor Web ha aggiornato l'applicazione di sicurezza Dr.Web per Android Light della versione 7.0. Sono state aggiunte nuove possibilità di difesa contro le minacce informatiche, è stata modificata l'interfaccia e sono stati corretti errori individuati. È stato modificato il testo del contratto di licenza in modo da includere la seguente disposizione: l'applicazione invia in modo automatico al server di Doctor Web statistiche delle minacce rilevate e gli indirizzi dei siti web visitati. A questo proposito, dopo aver aggiornato il programma, l'utente deve accettare di nuovo il contratto di licenza.

Dr.Web per Android Light 7.0 ora può rilevare applicazioni che sfruttano le vulnerabilità di Android scoperte di recente 8219321 (master keys) e 9695860 (extra field).

Nelle impostazioni del file monitor SpIDer Guard e della scansione adesso è possibile disattivare il rilevamento di adware e di riskware. Inoltre, il file monitor adesso può riprendere il suo funzionamento dopo una chiusura non autorizzata provocata dal sistema o da un altro oggetto.

È comparsa la possibilità di acquistare la versione completa di Dr.Web per Android immediatamente dalla finestra principale dell'applicazione utilizzando un link apposito. Inoltre, gli utenti russi e ucraini possono accedere al sito del progetto interattivo di formazione WebIQmetro dalla finestra "Informazioni sul programma".

L'aggiornamento corregge errori individuati nel funzionamento di Dr.Web per Android Light: per esempio, prima la scansione avviata si interrompeva al toccare del display sui dispositivi Android 4.0.

Gli utenti di Dr.Web per Android Light riceveranno l’aggiornamento in modo automatico. Se gli aggiornamenti automatici sono disabilitati sul dispositivo, è necessario accedere a Google Play, selezionare Dr.Web Antivirus Light dalla lista applicazioni e cliccare sul pulsante “Aggiorna”.


Se si desidera aggiornare l’applicazione dal sito di Doctor Web, è necessario scaricare la nuova versione (http://download.drweb.com/android).

Aggiornamento di Dr.Web per Android 8.0.4

26 luglio 2013

Doctor Web ha aggiornato l'antivirus Dr.Web per Android alla versione 8.0.4. Nella nuova versione sono state ampliate le funzioni di rilevamento.

Adesso Dr.Web per Android può rilevare applicazioni che sfruttano una falla del sistema operativo Android, scoperta di recente: 9695860 (extra field).

Inoltre, sono state eliminate le cause del possibile crash all'aggiornamento automatico dei database antivirali.
La nuova versione di Dr.Web per Android è disponibile su Google play (Dr.Web Antivirus, Dr.Web Antivirus Life license) e sul sito di Doctor Web (Dr.Web per Android).

Gli utenti di Dr.Web per Android riceveranno l'aggiornamento in modo automatico. Se sul dispositivo sono disattivati aggiornamenti automatici, è necessario entrare su Google play, selezionare Dr.Web Antivirus o Dr.Web Antivirus Life license dalla lista applicazioni e cliccare su "Aggiorna".

Per ottenere l'aggiornamento dal sito di Doctor Web, è necessario scaricare la nuova versione (http://download.drweb.com/android). Se l'opzione "Nuova versione del programma" è abilitata nelle impostazioni dell'antivirus, l'utente viene notificato della disponibilità della nuova versione durante l'aggiornamento dei database antivirali. In questo caso, la nuova versione può essere scaricata direttamente da questa finestra di dialogo.

Aggiornamenti Dr.Web

Aggiornati componenti di Dr.Web 8.0 per Windows

Doctor Web comunica di aver aggiornato il componente "agent" (8.1.0.201307090) dei prodotti Dr.Web Security Space, Dr.Web Antivirus per Windows e Dr.Web Antivirus per Windows file server della versione 8.0. Sono stati modificati anche il modulo "updater" (8.0.5.06101) e alcune localizzazioni.

È stata eliminata la causa di possibile crash dell'agent al cambio di lingua interfaccia. Nel modulo SpIDer Guard è stato corretto un errore che non consentiva di inserire file nella lista delle eccezioni allo stesso modo di cartelle.

Modifiche interne sono state introdotte nel modulo di aggiornamento Dr.Web Updater.

Sono state fatte piccole correzioni nelle localizzazioni del software, nonché ci è stato aggiunto un testo che rispecchia il nuovo modo per registrare due numeri di serie dei prodotti Dr.Web acquistati in scatola.

L'aggiornamento del software sui computer degli utenti avviene automaticamente, ma si dovrà riavviare la postazione.

Fonte: http://news.drweb.com/show/preview/?i=3737&lng=ru

Aggiornato Dr.Web Virus Finding Engine 

Doctor Web ha aggiornato alla versione 7.0.5 il nucleo antivirale Dr.Web Virus Finding Engine incluso nei prodotti per i privati Dr.Web Antivirus e Dr.Web Security Space 6.0, 7.0 e 8.0, nei programmi dei gruppi Dr.Web Desktop Security Suite, Dr.Web Server Security Suite, Dr.Web Mail Security Suite, Dr.Web Gateway Security Suite, nel servizio di Internet Dr.Web AV-Desk, nelle utility di cura Dr.Web CureIt! e Dr.Web CureNet!, nonché negli strumenti di ripristino sistema Dr.Web LiveCD e Dr.Web LiveUSB.

Al nucleo Dr.Web Virus Finding Engine, è stata aggiunta la possibilità di scansionare pacchetti di installazione Smart Install Maker, inoltre, sono stati corretti errori nell'analisi di container di email e nel funzionamento dell'emulatore PE e dell'emulatore JS.

L'update si installa automaticamente.

Fonte: http://news.drweb.com/show/preview/?i=3743&lng=ru 

Trojan.Carberp: i criminali sono stati condannati

Fonte: http://news.drweb.com/?i=3723&c=5&lng=ru&p=0

9 luglio 2013

Il 21 giugno il tribunale del rione Pechjorsky di Kiev ha condannato a cinque anni di carcere con tre anni di differimento l'organizzatore e due membri del gruppo criminale internazionale che creava e propagava in Russia e Ucraina programmi malevoli della famiglia Trojan.Carberp. Il 19 marzo 2013 le attività di questo gruppo criminale sono state interrotte dal Servizio di sicurezza ucraino a seguito di un'operazione speciale condotta congiuntamente con il Servizio di sicurezza federale russo. Quel giorno sono state arrestate sedici persone implicate nello sviluppo e nella propagazione di uno dei programmi malevoli più pericolosi degli anni recenti.

Negli ultimi due anni, il Trojan.Carberp ha afflitto gli utenti dei sistemi di home banking delle grandi banche russe e ucraine. Questo programma malevolo, sviluppato in Russia alcuni anni fa, era l'elemento centrale di una struttura criminale potente specializzata nei furti di denaro dai conti bancari di aziende e di persone private. I programmatori coinvolti nella produzione del malware perfezionavano non solo il trojan stesso, ma anche moduli addizionali progettati per attacchi ai sistemi di home banking di determinate banche. I tester controllavano se il trojan funzionava correttamente in uno o altro sistema di home banking e se poteva nascondere la sua presenza sul computer dai programmi antivirus. L'amministratore di sistema badava a una comunicazione sicura dei membri del gruppo criminale e manteneva l'infrastruttura della rete malevola composta dai computer infettati dal Trojan.Carberp.

I capi del gruppo criminale vendevano licenze di uso del trojan e del relativo programma di amministrazione ai cosiddetti "partner". Il programma di amministrazione accumulava informazioni sugli utenti dei computer infetti e in base a queste informazioni i criminali decidevano quando e quale furto commettere. Il denaro veniva trasferito dai conti delle vittime ai conti falsi (cosiddetti "drop") da cui in seguito veniva trasferito a favore di ditte controllate dai criminali o veniva prelevato in contanti. Uno dei "partner" ("Hermes", alias "Arashi"), proprietario di una botnet che includeva milioni di computer invasi dal Carberp, è stato arrestato dalle forze di polizia russe a giugno 2012. Dopo questo evento i capi del gruppo criminale hanno spostato i loro interessi dalla Russia all'Ucraina. Da agosto 2012 gli attacchi contro i clienti delle banche ucraine venivano eseguiti su vasta scala. Sebbene i criminali attaccassero le banche nello stesso paese in cui vivevano, si sentivano in completa sicurezza nascosti dietro molteplici canali VPN e canali di comunicazione criptati. Non disdegnavano di tenere traccia dei clienti più "interessanti" tra le vittime dei loro "partner" e rubavano fondi all'insaputa di questi ultimi.

Gli specialisti dal laboratorio antivirale di Doctor Web hanno lavorato per quasi due anni per aiutare la polizia a smascherare i criminali informatici. Esaminavamo di continuo nuovi campioni del trojan pericoloso e studiavamo nuovi vettori di attacco dei malintenzionati. Basti dire che attualmente il database dei virus del software Dr.Web contiene oltre 1200 varianti del trojan Carberp. Grazie alla loro alta qualificazione, i nostri specialisti hanno potuto spiegare molte cose non chiare nell'infrastruttura del Trojan.Carberp e hanno aiutato a identificare molti membri del gruppo criminale. Un reparto speciale di Doctor Web ha interagito diverse volte con le banche russe e ucraine ai fini di impedire il ritiro illegale di denaro rubato.

"Oggi assistiamo a un afflusso di giovani programmatori di talento nelle strutture criminali, - dice Boris Sharov, CEO di Doctor Web. - Ciò è dovuto in gran parte all'opinione diffusa che i creatori e i propagatori dei virus rimangano impuniti. Inoltre, i giovani spesso danno ascolto a promesse generose dei capi criminali e sono attirati da offerte allettanti che in realtà non si materializzeranno mai. Abbiamo osservato tutto questo nel caso degli sviluppatori del Trojan.Carberp. Speriamo che la sentenza emanata dal tribunale di Kiev faccia tornare alla realtà quelle persone che cercano di ottenere denaro facile nel cyberspazio. Oltre a ciò, questa storia non è finita ancora perché la polizia russa ha moltissime domande da fare al gruppo Carberp, forse anche più di quante ne avevano i loro colleghi ucraini. Siamo sicuri che la criminalità informatica verrà punita in ogni sua manifestazione."