Hay un montón de trucos para evitar las macros potencialmente maliciosas en los documentos de oficina que recibe. Mi pregunta es ¿cómo detecto [forense] si hay macros maliciosos en los documentos?
La detección de malware en los documentos de Office funciona como en cualquier otro lugar: puede utilizar un enfoque basado en patrones para el malware conocido y deberá utilizar la heurística para detectar comportamientos potencialmente maliciosos.
No hay un "patrón común" para el malware. Algunos pueden escribir archivos de texto, otros pueden descargar archivos binarios, otros pueden eliminar la configuración del registro y otros pueden copiarse a sí mismos en recursos compartidos de red.
La detección de tales acciones maliciosas requiere que entiendas lo que es legítimo dentro de una macro. Todo lo demás es potencialmente dañino. Tenga en cuenta que: ejecutar macros desde fuentes que no son de confianza es como ejecutar un binario.