Я для таких вещей всегда использую виртуалку, подключенную через нат, со свежеустановленной старой ХР и дырявым осликом на ней, а поверх виртуалки запускаю Wireshark. Тогда связка пробивает ослика (причем ты будешь знать, какими сплоентами, из пакетов, перехваченных шарком), и грузит исполняемый файл. А там уже может быть что угодно. Порой тоже интересное встречается) Особенно если там будет Zeus, то можно попробовать прочитать конфиги, залезть в админку и многое другое)