VonDoczuDoc.de

Hallo zusammen,

mein Virenscanner (ESET Endpoint) meldet beim Programmstart an allen Turbomed-Arbeitstationen ein recht ungewöhnliches Verhalten. Übersetzt bedeutet das, das Turbomed beim Programmstart versucht, meinen Virenscannerprozess zu beenden. Das ist sagen wir mal etwas merkwürdig bzw. inakzeptabel. Mir fällt dazu folgendes ein:

1)
Turbomed versucht planmäßig beim Systemstart ein aus seiner Sicht "sauberes" System zu generieren. Virenscanner können da stören. Also am besten abschalten.

2)
Turbomed enthält Programmcode der nicht geplant ist, aber gerne ohne Virenscanner arbeiten würde. Das wäre typisch für Schadsoftware.

Da Turbomed als normaler Benutzer aber ohne Administrative Berechtigungen gestartet wird gelingt das nicht.

beide Varianten finde ich gruselig. Sollen wir jetzt vielleicht die Installationsmedien von Turbomed immer vor Benutzung ausführlich auf Viren scannen? Vermutlich! Wenn es eine eingebaute Turbomedfunktion ist wäre dies aus meiner Sicht zwingend von Turbomed zu dokumentieren!

Und nein - ich werde den Virenscanner für Turbomed nicht deinstallieren!

Grüße

Christoph

Hallo,

ich verlasse mich jetzt mal darauf, dass Sie das Log richtig interpretieren - also dass die Meldung grob bedeutet, dass TurboMed.Exe gemäß Regel/Konfiguratiuon des Selbstschutz daran gehindert wurde, egui.exe zu beenden. (Übrigens klingt egui.exe eher nur nach der GUI/Oberfläche und nicht nach dem Hintergrundwächter? Aber egal).

Ich kenne ähnliche Meldungen von anderen Programmen/AV-Kombinationen. Daher hier meine Interpretation: TurboMed.exe prüft beim Starten, welche Prozesse sonst noch laufen (zB ob TM oder ifap schon laufen). Damit es das kann, fordert es bei Windows die entsprechenden Berechtigugen an - und der Bequemlichkeit halber gleich die maximalen - also inkl. Recht, Prozesse zu beenden (egal ob es das dann auch tut oder nicht). Eset sieht nun, dass TM auf seinen Prozess mit Berechtigungen zugreift, die auch geeignet wären, ihn zu beenden - und blockiert daher entsprechend die Aktion.

Ich stecke da wirklich nicht in den Programmier-Details, aber ich vermute stark, dass eine saubere Programmierung so aussehen würde (und das so granular auch vom OS unterstützt wird):
1. Schritt: minimale Berechtigungen anfordern, nur Prozesse auflisten (Suche nach turbomed.exe etc)
2. Schritt: Falls ein entsprechender Prozess gefundern wird, Berechtigung anfordern, diesen zu beenden.

Hallo,
Beim ESET unter erweiterten Einstellungen im Auschlußfilter den Pfad C:\ Turbomed eingegeben?
Bei mir ist es so und habe keine Probleme.
VG
Peter

Hallo zusammen,

Bei mir ist es so und habe keine Probleme.

Also, zunächst - Probleme macht das Verhalten nicht, Turbomed ist dadurch nicht in seiner Funktion beeinträchtigt.

Die Fehlermeldung kommt auch nicht vom direkten Virenscannmodul, sondern aus den erweiterten ESET-eigenen Schutzfunktionen / Endpointprotection.

Beim ESET unter erweiterten Einstellungen im Auschlußfilter den Pfad C:\ Turbomed eingegeben?

Davon würde ich dringend abraten! Warum?

Der Turbomed-Ordner ist im Netzwerk mit vollen Schreibrechten (NTFS und FreigabeBerechtigungen) freigegeben. An sich ein Unding. Der Ausschluss des Virenscanners auf den gesamten Programmpfad bedeutet, dass alle ausführbaren Dateien ungeprüft ausgeführt werden können. Das ist ein sehr nettes Angriffsziel für diese netten Verschlüsselungstrojaner. Und bei 30% Martanteil von CGM ist das nur eine Frage der Zeit, bis hier im Forum nachgefragt wird wo man Bitcoins herbekommt. https://www.bing.com/news/search?q=rans ... ehe%20hier Ärzte haben ja Geld, nur nicht für IT-Sicherheit

Wenn man Turbomed aus dem Virenscanner herausnehmen will, dann bitte nur den Prozess Turbomed.exe - sowie in Handarbeit alle anderen erforderlichen ausführbaren Dateien.

Grüße

lcer

PS: hier im Forum regen sich immer wieder Kollegen über die Unzulänglichkeiten der Software auf. Warum in aller Welt glauben wir dann daran, dass CGM immer sichere und virenfreie Updates ausliefern wird?

lcer hat geschrieben: Die Fehlermeldung kommt auch nicht vom direkten Virenscannmodul, sondern aus den erweiterten ESET-eigenen Schutzfunktionen / Endpointprotection.

s.o. kann man bei ESET für diese Schutzfunktion keine Ausnahmen definieren?

lcer hat geschrieben:

Beim ESET unter erweiterten Einstellungen im Auschlußfilter den Pfad C:\ Turbomed eingegeben?

Davon würde ich dringend abraten! Warum?

Der Turbomed-Ordner ist im Netzwerk mit vollen Schreibrechten (NTFS und FreigabeBerechtigungen) freigegeben. An sich ein Unding. Der Ausschluss des Virenscanners auf den gesamten Programmpfad bedeutet, dass alle ausführbaren Dateien ungeprüft ausgeführt werden können. Das ist ein sehr nettes Angriffsziel für diese netten Verschlüsselungstrojaner. Und bei 30% Martanteil von CGM ist das nur eine Frage der Zeit, bis hier im Forum nachgefragt wird wo man Bitcoins herbekommt. https://www.bing.com/news/search?q=rans ... ehe%20hier Ärzte haben ja Geld, nur nicht für IT-Sicherheit

Stimmt. Sofern das der Virenscanner kann die Ausschlüsse nur für bestimmte Prozesse konfigurieren - also wenn turbomed.exe auf den Ordner X zugreift, wird nicht gescannt. Wenn aber zB. firefox.exe oder explorer.exe auf den selben Ordner zugreift, dann schon. Kann aber evtl. nicht jedes Produkt.
Was aber die Verschlüsselungstrojaner angeht: Das macht eher keinen Unterschied, ob Sie den Turbomed-Ordner scannen (es sei denn Sie meinen, dass sich der Trojaner dort ablegt) - i.d.Regel dürfte ein Client infiziert werden und dann einfach alle erreichbare Dateien/Netzlaufwerke verschlüsseln - das Verschlüsseln der TM-Dateien/Dokumente an sich, wäre aber kein Schadcode sondern eine ganz normaler Lese/Schreibvorgang - im Prinzip nicht anders, wie wenn Sie in Word ein bestehendes Dokument bearbeiten.

lcer hat geschrieben: PS: hier im Forum regen sich immer wieder Kollegen über die Unzulänglichkeiten der Software auf. Warum in aller Welt glauben wir dann daran, dass CGM immer sichere und virenfreie Updates ausliefern wird?

Wer glaubt das denn?

Was aber die Verschlüsselungstrojaner angeht: Das macht eher keinen Unterschied, ob Sie den Turbomed-Ordner scannen (es sei denn Sie meinen, dass sich der Trojaner dort ablegt) - i.d.Regel dürfte ein Client infiziert werden und dann einfach alle erreichbare Dateien/Netzlaufwerke verschlüsseln - das Verschlüsseln der TM-Dateien/Dokumente an sich, wäre aber kein Schadcode sondern eine ganz normaler Lese/Schreibvorgang - im Prinzip nicht anders, wie wenn Sie in Word ein bestehendes Dokument bearbeiten.

Das ist so nicht ganz richtig. siehe : https://de.wikipedia.org/wiki/Antiviren ... ensanalyse
Über die Überwachung von Virentypischen Zugriffsmustern können moderne Antivirenprogramme unter Umständen trotzdem eingreifen. Bei ESET heist das HIPS (Host Intrusion Prevention System), aber auch z.B. Acronis hat eine solche Funktion (optional) integriert - gugt man da: https://www.acronis.com/de-de/ransomware-protection/

Als Reaktion auf die neueren Bredohungszenarien haben die Sicherheitssoftwarehersteller reagiert. Irgendwann sollte auch Turbomed/CGM reagieren und eine saubere Einbindung des Programms in ein sauber abgesichertes System ermöglichen. Bislang gibt es da immense Schwachpunkte.

Grüße

lcer

lcer hat geschrieben:

Was aber die Verschlüsselungstrojaner angeht: Das macht eher keinen Unterschied, ob Sie den Turbomed-Ordner scannen (es sei denn Sie meinen, dass sich der Trojaner dort ablegt) - i.d.Regel dürfte ein Client infiziert werden und dann einfach alle erreichbare Dateien/Netzlaufwerke verschlüsseln - das Verschlüsseln der TM-Dateien/Dokumente an sich, wäre aber kein Schadcode sondern eine ganz normaler Lese/Schreibvorgang - im Prinzip nicht anders, wie wenn Sie in Word ein bestehendes Dokument bearbeiten.

Das ist so nicht ganz richtig. siehe : https://de.wikipedia.org/wiki/Antiviren ... ensanalyse
Über die Überwachung von Virentypischen Zugriffsmustern können moderne Antivirenprogramme unter Umständen trotzdem eingreifen. Bei ESET heist das HIPS (Host Intrusion Prevention System), aber auch z.B. Acronis hat eine solche Funktion (optional) integriert - gugt man da: https://www.acronis.com/de-de/ransomware-protection/

Als Reaktion auf die neueren Bredohungszenarien haben die Sicherheitssoftwarehersteller reagiert. Irgendwann sollte auch Turbomed/CGM reagieren und eine saubere Einbindung des Programms in ein sauber abgesichertes System ermöglichen. Bislang gibt es da immense Schwachpunkte.

Grüße

lcer

Ja, für solche Funktionen haben Sie schon recht - wobei ich je nach Produkt mir nicht sicher bin, on das dann auch das Scanner-Modul macht und ob hier die selben Ausnahmen greifen - ich vermute (hoffe) mal eher nicht

Wir überlegen bei einer Terminal-Server-Installation (derzeit noch unter Windows Server 2012R) Eset als Virenschutz zu installieren. Eset wurde uns von unserem Netzwerkbetreuer (TurboMed-unabhängig) als gut konfigurierbar und relativ preiswert als eine Option vorgeschlagen.

Hat jemand hier Erfahrungen mit Antivirus-Programmen bei einer Terminal-Server-Installation von TurboMed? Gerade auch im Zusammenspiel mit der TI und ePA ist die Frage nach möglichen Geschwindigkeitseinbußen (Ressourcenverbrauch der Software?) und vor allem Sicherheit/Zuverlässigkeit des Schutzes (von Patienten selbst in die ePA hochgeladene Dokumente?!)!

Ich habe das TM-Update nach dem download immer gerne ein wenig auf dem NAS 'abhängen' lassen, und nicht nur einmal hat der dort tätige Virenscanner angeschlagen (meist Trojaner).
CGM-Software ist schon lange nicht sauber.