Как известно червяк stuxnet использует вместе с другими и этот сплоит. Он реализован и в Metasploit, но способы запуска закинутого на комп шелкода сильно различаются. Если metasploit использует создание удаленого задания (NetAddJob вроде), то червяк использует WMI. Вопрос как? Что содержится в файле с:\windows\system32\wbem\good\sysnulevnt.mof? Может кто ковырял зловреда.