Analyse eines Downloads Office 2019 Pro Plus: Geiz ist nicht geil, sondern gefährlich

Billiger als eine Tasse Cappuccino, da schlug CRN zu und kaufte bei einem »Händler« über den Marktplatz von Rakuten eine Office-Businessversion für sage und schreibe 2,09 Euro. Seriöse Anbieter verlangen für Microsoft-Programme über 500 Euro. Was also steckt hinter diesem unglaublichen Billigstangebot?

(Foto: Richard Villalon, Adobe Stock)

CRN erhielt beim Testkauf eines auf dem Rakuten-Marketplace aktiven Anbieters eine E-Mail mit dem Produktschlüssel sowie Downloadlinks: Einmal zur Software selbst, der andere zu einer Installationsanleitung. Beide Links führen auf einen Google-Drive-Ordner (!). Die Bezahlung erfolgte über die von Rakuten bereitgestellten Zahlungsmöglichkeiten. Wir wählten Paypal. Wir sind beiden Links aus Sicherheitsgründen nicht gefolgt und haben in diesem ganz offensichtlichen Fall einer illegalen Kopie auf eine Überprüfung seitens Microsofts PID verzichtet. Uns interessierte vielmehr, was bei der Installation technisch passiert.

Welche Risiken sind also – neben dem lizenzrechtlichen Missbrauch – bei einer Installation über den CRN zugesandten Downloadlink auf ein Google-Drive-Laufwerk und dem Freischaltungs-Key zu befürchten? IT-Security-Experte Thomas Uhlemann stieß bei seiner technischen Analyse auf so einige Manipulationen. Hier sein Bericht aus dem Security-Lab von Eset:

Zuerst habe ich alle Links für einen ersten Check bei www.virustotal.com überprüft. Die Suche dort ist nur als eine schnelle Erstprüfung zu verstehen und sagt nie etwas Endgültiges aus. Wären die URL aber schon als schädlich bekannt gewesen, hätte das die weitere Analyse entsprechend beeinflusst. Die Suche hat jedoch zu keinem Ergebnis geführt. Also wird »händisch« und lokal weiter geforscht.

Vorbedingung ist immer eine (in meinem Fall) linuxbasierte, abgeschottete virtuelle Maschine. Sie hat lediglich für OS Updates und den jetzigen Download einen direkten Zugriff ins Internet, ist aber sonst vom Host-System getrennt. Der Aufruf der Google- Drive-Seiten erfolgt über einen Inkognito-Tab des Browsers (Chromium).

Nach dem Download wird die Internetverbindung getrennt
Was als erstes auffällt, ist die Bezeichnung der Installationsdateien: Sie entsprechen nicht dem Namensschema von Microsoft. Dafür muss es Gründe geben. Es gibt keine ISO-, sondern IMG-Dateien zum Download bei Microsoft (www.wincert.net/forum/topic/13912-new-office-2019-download-links/) – immer auch dediziert für die jeweilige Sprachversion. Diese ist bei Microsoft und anderen mit »de-de« in der URL beziehungsweise anschließend in den Dateiinfos mit dem Ländercode 1031 versehen. Die angebotene und von mir analysierte Datei heißt jedoch »office2019pp-32.iso«.

Übersicht