ИМХО - атака проводится посредством подтягивания вредоносного кода из ПДФ, эксель, раздобытого где-то скрипта и т.д. суть в том, что у атакованного при открытии файла срабатывает макрос, JS в картинке или что-то подобное, этот скрипт подгружает уже код самого вируса, дальше тот делает что...