Turbomed & Viren(scanner?)

TURBOMED ist immerhin das "wahrscheinlich beste" Arztprogramm auf dem Markt. Der Hersteller von TURBOMED stellt sich auch der Kritik: Großen Respekt!!! Trotzdem: Fehler kommen vor. Beschreiben Sie ihn hier. Dies hilft auch dem Hersteller und damit auch Ihnen, wenn so das Programm noch besser wird!

Moderator: Forum Moderatoren

Turbomed & Viren(scanner?)

Beitragvon lcer » Donnerstag 9. November 2017, 09:43

Hallo zusammen,

mein Virenscanner (ESET Endpoint) meldet beim Programmstart an allen Turbomed-Arbeitstationen ein recht ungewöhnliches Verhalten.
Code: Alles auswählen
09.11.2017 08:18:07;C:\TurboMed\Programm\TurboMed.exe;Zugriff auf andere Anwendung erlangen;C:\Program Files\ESET\ESET Endpoint Antivirus\egui.exe;Zugriff teilweise blockiert;Selbstschutz: ekrn- und egui-Prozesse schützen;Andere Anwendung beenden/unterbrechen,Zustand anderer Anwendung ändern


Übersetzt bedeutet das, das Turbomed beim Programmstart versucht, meinen Virenscannerprozess zu beenden. Das ist sagen wir mal etwas merkwürdig bzw. inakzeptabel. Mir fällt dazu folgendes ein:

1)
Turbomed versucht planmäßig beim Systemstart ein aus seiner Sicht "sauberes" System zu generieren. Virenscanner können da stören. Also am besten abschalten.

2)
Turbomed enthält Programmcode der nicht geplant ist, aber gerne ohne Virenscanner arbeiten würde. Das wäre typisch für Schadsoftware.

Da Turbomed als normaler Benutzer aber ohne Administrative Berechtigungen gestartet wird gelingt das nicht.

beide Varianten finde ich gruselig. Sollen wir jetzt vielleicht die Installationsmedien von Turbomed immer vor Benutzung ausführlich auf Viren scannen? Vermutlich! Wenn es eine eingebaute Turbomedfunktion ist wäre dies aus meiner Sicht zwingend von Turbomed zu dokumentieren!

Und nein - ich werde den Virenscanner für Turbomed nicht deinstallieren!

Grüße

Christoph
lcer
 
Beiträge: 154
Registriert: Sonntag 26. Oktober 2008, 09:15

Re: Turbomed & Viren(scanner?)

Beitragvon nmndoc » Donnerstag 9. November 2017, 12:01

Hallo,

ich verlasse mich jetzt mal darauf, dass Sie das Log richtig interpretieren - also dass die Meldung grob bedeutet, dass TurboMed.Exe gemäß Regel/Konfiguratiuon des Selbstschutz daran gehindert wurde, egui.exe zu beenden. (Übrigens klingt egui.exe eher nur nach der GUI/Oberfläche und nicht nach dem Hintergrundwächter? Aber egal).

Ich kenne ähnliche Meldungen von anderen Programmen/AV-Kombinationen. Daher hier meine Interpretation: TurboMed.exe prüft beim Starten, welche Prozesse sonst noch laufen (zB ob TM oder ifap schon laufen). Damit es das kann, fordert es bei Windows die entsprechenden Berechtigugen an - und der Bequemlichkeit halber gleich die maximalen - also inkl. Recht, Prozesse zu beenden (egal ob es das dann auch tut oder nicht). Eset sieht nun, dass TM auf seinen Prozess mit Berechtigungen zugreift, die auch geeignet wären, ihn zu beenden - und blockiert daher entsprechend die Aktion.

Ich stecke da wirklich nicht in den Programmier-Details, aber ich vermute stark, dass eine saubere Programmierung so aussehen würde (und das so granular auch vom OS unterstützt wird):
1. Schritt: minimale Berechtigungen anfordern, nur Prozesse auflisten (Suche nach turbomed.exe etc)
2. Schritt: Falls ein entsprechender Prozess gefundern wird, Berechtigung anfordern, diesen zu beenden.
nmndoc
 
Beiträge: 1014
Registriert: Donnerstag 17. März 2011, 12:56

Re: Turbomed & Viren(scanner?)

Beitragvon peter » Dienstag 14. November 2017, 22:39

Hallo,
Beim ESET unter erweiterten Einstellungen im Auschlußfilter den Pfad C:\ Turbomed eingegeben?
Bei mir ist es so und habe keine Probleme.
VG
Peter
peter
 
Beiträge: 78
Registriert: Donnerstag 6. November 2008, 19:59

Re: Turbomed & Viren(scanner?)

Beitragvon lcer » Mittwoch 15. November 2017, 08:25

Hallo zusammen,
Bei mir ist es so und habe keine Probleme.

Also, zunächst - Probleme macht das Verhalten nicht, Turbomed ist dadurch nicht in seiner Funktion beeinträchtigt.

Die Fehlermeldung kommt auch nicht vom direkten Virenscannmodul, sondern aus den erweiterten ESET-eigenen Schutzfunktionen / Endpointprotection.

Beim ESET unter erweiterten Einstellungen im Auschlußfilter den Pfad C:\ Turbomed eingegeben?

Davon würde ich dringend abraten! Warum?

Der Turbomed-Ordner ist im Netzwerk mit vollen Schreibrechten (NTFS und FreigabeBerechtigungen) freigegeben. An sich ein Unding. Der Ausschluss des Virenscanners auf den gesamten Programmpfad bedeutet, dass alle ausführbaren Dateien ungeprüft ausgeführt werden können. Das ist ein sehr nettes Angriffsziel für diese netten Verschlüsselungstrojaner. Und bei 30% Martanteil von CGM ist das nur eine Frage der Zeit, bis hier im Forum nachgefragt wird wo man Bitcoins herbekommt. https://www.bing.com/news/search?q=ransomware%20siehe%20hier Ärzte haben ja Geld, nur nicht für IT-Sicherheit :)

Wenn man Turbomed aus dem Virenscanner herausnehmen will, dann bitte nur den Prozess Turbomed.exe - sowie in Handarbeit alle anderen erforderlichen ausführbaren Dateien.

Grüße

lcer

PS: hier im Forum regen sich immer wieder Kollegen über die Unzulänglichkeiten der Software auf. Warum in aller Welt glauben wir dann daran, dass CGM immer sichere und virenfreie Updates ausliefern wird?
lcer
 
Beiträge: 154
Registriert: Sonntag 26. Oktober 2008, 09:15

Re: Turbomed & Viren(scanner?)

Beitragvon nmndoc » Mittwoch 15. November 2017, 10:39

lcer hat geschrieben:Die Fehlermeldung kommt auch nicht vom direkten Virenscannmodul, sondern aus den erweiterten ESET-eigenen Schutzfunktionen / Endpointprotection.


s.o. kann man bei ESET für diese Schutzfunktion keine Ausnahmen definieren?

lcer hat geschrieben:
Beim ESET unter erweiterten Einstellungen im Auschlußfilter den Pfad C:\ Turbomed eingegeben?

Davon würde ich dringend abraten! Warum?

Der Turbomed-Ordner ist im Netzwerk mit vollen Schreibrechten (NTFS und FreigabeBerechtigungen) freigegeben. An sich ein Unding. Der Ausschluss des Virenscanners auf den gesamten Programmpfad bedeutet, dass alle ausführbaren Dateien ungeprüft ausgeführt werden können. Das ist ein sehr nettes Angriffsziel für diese netten Verschlüsselungstrojaner. Und bei 30% Martanteil von CGM ist das nur eine Frage der Zeit, bis hier im Forum nachgefragt wird wo man Bitcoins herbekommt. https://www.bing.com/news/search?q=ransomware%20siehe%20hier Ärzte haben ja Geld, nur nicht für IT-Sicherheit :)


Stimmt. Sofern das der Virenscanner kann die Ausschlüsse nur für bestimmte Prozesse konfigurieren - also wenn turbomed.exe auf den Ordner X zugreift, wird nicht gescannt. Wenn aber zB. firefox.exe oder explorer.exe auf den selben Ordner zugreift, dann schon. Kann aber evtl. nicht jedes Produkt.
Was aber die Verschlüsselungstrojaner angeht: Das macht eher keinen Unterschied, ob Sie den Turbomed-Ordner scannen (es sei denn Sie meinen, dass sich der Trojaner dort ablegt) - i.d.Regel dürfte ein Client infiziert werden und dann einfach alle erreichbare Dateien/Netzlaufwerke verschlüsseln - das Verschlüsseln der TM-Dateien/Dokumente an sich, wäre aber kein Schadcode sondern eine ganz normaler Lese/Schreibvorgang - im Prinzip nicht anders, wie wenn Sie in Word ein bestehendes Dokument bearbeiten.

lcer hat geschrieben:PS: hier im Forum regen sich immer wieder Kollegen über die Unzulänglichkeiten der Software auf. Warum in aller Welt glauben wir dann daran, dass CGM immer sichere und virenfreie Updates ausliefern wird?


Wer glaubt das denn? ;-)
nmndoc
 
Beiträge: 1014
Registriert: Donnerstag 17. März 2011, 12:56

Re: Turbomed & Viren(scanner?)

Beitragvon lcer » Mittwoch 15. November 2017, 10:50

Was aber die Verschlüsselungstrojaner angeht: Das macht eher keinen Unterschied, ob Sie den Turbomed-Ordner scannen (es sei denn Sie meinen, dass sich der Trojaner dort ablegt) - i.d.Regel dürfte ein Client infiziert werden und dann einfach alle erreichbare Dateien/Netzlaufwerke verschlüsseln - das Verschlüsseln der TM-Dateien/Dokumente an sich, wäre aber kein Schadcode sondern eine ganz normaler Lese/Schreibvorgang - im Prinzip nicht anders, wie wenn Sie in Word ein bestehendes Dokument bearbeiten.


Das ist so nicht ganz richtig. siehe : https://de.wikipedia.org/wiki/Antivirenprogramm#Verhaltensanalyse
Über die Überwachung von Virentypischen Zugriffsmustern können moderne Antivirenprogramme unter Umständen trotzdem eingreifen. Bei ESET heist das HIPS (Host Intrusion Prevention System), aber auch z.B. Acronis hat eine solche Funktion (optional) integriert - gugt man da: https://www.acronis.com/de-de/ransomware-protection/

Als Reaktion auf die neueren Bredohungszenarien haben die Sicherheitssoftwarehersteller reagiert. Irgendwann sollte auch Turbomed/CGM reagieren und eine saubere Einbindung des Programms in ein sauber abgesichertes System ermöglichen. Bislang gibt es da immense Schwachpunkte.

Grüße

lcer
lcer
 
Beiträge: 154
Registriert: Sonntag 26. Oktober 2008, 09:15

Re: Turbomed & Viren(scanner?)

Beitragvon nmndoc » Donnerstag 16. November 2017, 14:16

lcer hat geschrieben:
Was aber die Verschlüsselungstrojaner angeht: Das macht eher keinen Unterschied, ob Sie den Turbomed-Ordner scannen (es sei denn Sie meinen, dass sich der Trojaner dort ablegt) - i.d.Regel dürfte ein Client infiziert werden und dann einfach alle erreichbare Dateien/Netzlaufwerke verschlüsseln - das Verschlüsseln der TM-Dateien/Dokumente an sich, wäre aber kein Schadcode sondern eine ganz normaler Lese/Schreibvorgang - im Prinzip nicht anders, wie wenn Sie in Word ein bestehendes Dokument bearbeiten.


Das ist so nicht ganz richtig. siehe : https://de.wikipedia.org/wiki/Antivirenprogramm#Verhaltensanalyse
Über die Überwachung von Virentypischen Zugriffsmustern können moderne Antivirenprogramme unter Umständen trotzdem eingreifen. Bei ESET heist das HIPS (Host Intrusion Prevention System), aber auch z.B. Acronis hat eine solche Funktion (optional) integriert - gugt man da: https://www.acronis.com/de-de/ransomware-protection/

Als Reaktion auf die neueren Bredohungszenarien haben die Sicherheitssoftwarehersteller reagiert. Irgendwann sollte auch Turbomed/CGM reagieren und eine saubere Einbindung des Programms in ein sauber abgesichertes System ermöglichen. Bislang gibt es da immense Schwachpunkte.

Grüße

lcer


Ja, für solche Funktionen haben Sie schon recht - wobei ich je nach Produkt mir nicht sicher bin, on das dann auch das Scanner-Modul macht und ob hier die selben Ausnahmen greifen - ich vermute (hoffe) mal eher nicht
nmndoc
 
Beiträge: 1014
Registriert: Donnerstag 17. März 2011, 12:56


Zurück zu TURBOMED - Programmfehler

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 3 Gäste

    rechtliche Hinweise - Disclaimer

    Impressum:

    EWERK Medical Care GmbH
    Postadresse: Markt 16, 04109 Leipzig

    Telefon: 0341 4264977
    Fax: 0341 4264978
    Web: www.ewerk.com
    E-Mail: forum@med-support.de

    Geschäftsführer: Frank Richter, Ingo Günther
    Amtsgericht Leipzig HRB 20896