با گذشت زمان، قابلیت های تجاری و درآمدزایی ابزارهای مونتاژ و ساخت بدافزار مورد توجه سازندگان این ابزارها قرار گرفت و پای این ابزارها به بازارهای زیرزمینی نفوذگران و تبهکاران سایبری باز شد. نخستین ابزارها تنها قادر به ایجاد فایل های مخرب اجرایی بودند؛ حال آنکه نسخه های جدیدتر امکان ساخت فایل های MS Office حاوی برنامه های مخرب بهره جو (Exploit) را نیز فراهم می ساختند.
یکی از ابزارهای ساخت بدافزار امروزی، Microsoft Word Intruder یا به اختصار MWI، است که به نظر می رسد در کشور روسیه طراحی و تولید شده باشد.
این ابزار، فایل های Rich Text Format با پسوند RTF ایجاد می کند که می توانند با سواستفاده از ضعف های امنیتی نرم افزار Microsoft Word دستگاه قربانی را آلوده کنند. در نسخه جدید ابزار MWI حتی می توان فایل های RTF مخربی را ایجاد کرد که حاوی چندین بهره جو باشند.
بطور کلی بدافزارهایی که نرم افزارهای Office را هدف قرار می دهند را می توان در دو دسته زیر گروه بندی کرد:
- نصاب ها (Droppers): این گروه از بدافزارها حاوی یک یا چندین فایل اجرایی مخرب هستند که پس از اجرا شدن فایل مخرب Office که حاوی ابزارهای بهره جو است و دسترسی غیرمجاز به سیستم را فراهم می آورد، بر روی سیستم قربانی قرار گرفته و اجرا می شوند. بنابراین حتی در صورت عدم اتصال دستگاه به اینترنت فرایند آلودگی تکمیل می شود.
- دریافت کنندگان (Downloaders): در این حالت پس از اجرا شدن فایل مخرب Office، فایل یا فایل های دیگری از سرورهایی که مسیر آنها در فایل مخرب Office است، دریافت می شوند. در این حالت هر چند تکمیل شدن فرایند آلودگی محتاج به دسترسی به اینترنت است اما در عوض نفوذگر قادر است در هر زمان اقدام به تغییر فایل های به اشتراک گذاشته شده بر روی سرور خود کند و عملاً نمی توان نتیجه اجرای فایل مخرب Office را بطور قطع پیش بینی کرد.
ابزار MWI ساخت هر دو نوع بدافزار بالا را ممکن می سازد.
این ابزار از چهار بهره جو که از ضعف های امنیتی زیر سوءاستفاده می کنند بهره می برد.
| شناسه ضعف امنیتی | شناسه اصلاحیه |
| CVE-2010-3333 | MS10-087 |
| CVE-2012-0158 | MS12-027 |
| CVE-2013-3906 | MS13-096 |
| CVE-2014-1761 | MS14-017 |
در صورت نصب بودن اصلاحیه های فوق، سیستم در مقابل بدافزارهای ساخته شده توسط ابزار MWI مصون خواهد ماند.