Virustotal: »Negativ, aber …«

Der nächste Schritt, bevor die Datei »angefasst« wird, ist es, eine md5-Checksumme errechnen zu lassen. Dazu wird die Kommandozeile geöffnet und mit dem »md5sum«-Befehl der entsprechende Hash ermittelt. Dieser wird aber bei Virustotal nicht gefunden. Also wurde eine entsprechende Datei noch nicht vom Dienst analysiert, was bei einem zwei GByte-File aber auch nicht ungewöhnlich ist, da die maximale Uploadgröße bei 550 MByte liegt.

Die Anleitung des Office-Anbieters – ich nenne ihn jetzt mal Betrüger – zeigt, dass das ISO erst noch entpackt werden soll. Normalerweise werden ISO aber auf DVD oder USB-Stick »gebrannt«. Technisch ist ISO aber nichts weiter als ein Archiv. Also per »unrar«-Befehl entpackt und mal genauer hingeschaut:

Der Extra-Schritt entpackt neben einigen CAB-Archiven (normal für Office) und einer setup.exe eine »configuration.xml«. Diese enthält ein paar interessante Infos:

1. Die Config »gaukelt« dem In-staller eine Volumenlizenz vor und setzt die Sprachversion auf »de-de«. Eventuell gibt es also einen Leak an VL-Keys, den sich der Betrüger« hier zunutze macht. Oder es ist eine Lücke im Lizenzsystem von Microsoft.
2. Removal aller Microsoft Installationen. Vermutlich versucht der Installer alle möglicherweise vorhandenen (älteren) Office-Versionen zu deinstallieren – und somit eventuelle alte Keys, damit die Lizenzserver nicht feststellen, dass eine Home- oder Student-Lizenz plötzlich eine Volumenlizenz für Unternehmen installiert.
3. Die EULA sind schon »vor-akzeptiert«, was hier der Grund sein könnte, ist ebenso spekulativ.