Получил по почте файл с эксплойтом, посоветуйте, как бы посмотреть его содержимое, что из него можно достать? В идеале, хотелось бы найти канал связи с атакующим.
отчет с virustotal.com

виртуалка, уязвимый офис, wireshark

IMAGE http://rghost.ru/57845301/image.png

Целевая система (с которой запускал - windows xp).
После открытия дока исполняется скрипт, который закачивает даунлоадер, который в свою очередь закачивает во временную директорию следующие файлы.
IMAGE http://s019.radikal.ru/i632/1409/86/a7c7b37037cb.png

~WRF0001.tmp - это msi инсталлятор;
MSTB5.tmp - ms cab архив;
WindowsUpdateAgent30-x86.exe - это модифицированный установщик агента обновления;
load.exe - очередной загрузчик;
calog.txt - лог;
wuredist.xml - xml, в теле которого забиты ссылки на скачивание с офф серверов установщика обновлений.
Уровнем выше, в папке Local Settings находится ntxobj.exe - это загрузчик первого уровня, т.е. тот, который закачал вышеописанные файлы.
В случае успешности система предлагает установить обновления.