Получил по почте файл с эксплойтом, посоветуйте, как бы посмотреть его содержимое, что из него можно достать? В идеале, хотелось бы найти канал связи с атакующим.
отчет с virustotal.com (https://hpc.name/redirector.html#https://www.virustotal.com/ru/file/c8f55b190258076278d606ad39d1b728664e4510e3743095f1 7487fd82e7298c/analysis/)

виртуалка, уязвимый офис, wireshark

[/URL][URL="https://hpc.name/redirector.html#http://rghost.ru/57845301.view"] (https://hpc.name/redirector.html#http://rghost.ru/57845301.view)IMAGE (https://hpc.name/redirector.html#http://rghost.ru/57845301/image.png) http://rghost.ru/57845301/image.png

Целевая система (с которой запускал - windows xp).
После открытия дока исполняется скрипт, который закачивает даунлоадер, который в свою очередь закачивает во временную директорию следующие файлы.
IMAGE (https://hpc.name/redirector.html#http://s019.radikal.ru/i632/1409/86/a7c7b37037cb.png) http://s019.radikal.ru/i632/1409/86/a7c7b37037cb.png

~WRF0001.tmp - это msi инсталлятор;
MSTB5.tmp - ms cab архив;
WindowsUpdateAgent30-x86.exe - это модифицированный установщик агента обновления;
load.exe - очередной загрузчик;
calog.txt - лог;
wuredist.xml - xml, в теле которого забиты ссылки на скачивание с офф серверов установщика обновлений.
Уровнем выше, в папке Local Settings находится ntxobj.exe - это загрузчик первого уровня, т.е. тот, который закачал вышеописанные файлы.
В случае успешности система предлагает установить обновления.