Не совсем понял что он имел ввиду. Эксплойт это и есть вирус, код, направленный на конкретную уязвимость в ПО с эго последующей эксплуатацией. Он троян хочет хакнуть?=) Под что експлойт надо, под какое ПО, ОС, браузер и т.д?А что он не так написал?
Или набор из CVE. Просто определиться с ареолом обитания жертв и туда бить.проще паблик CVE юзать