Takže přidávám další info.
Defender ten doc aktuálně nedetekuje, nechá i povolit makra (obsah), detekuje ale až spuštění samotného makra (maker) (což je např. klik kdekoliv v souboru) a detekuje tu hrozbu jako:

takže pokud je jako ochrana Defender a je aktuální tak se pravděpodobně nic nestane.
Pokud se Defender zakáže, otevře se dokument, povolí se makra (obsah) a klikne se někam v dokumentu, tak se začnou dít věci, teda aspoň na pozadí, jako spouštět cmd, powershell, atd.... Po pár desítkách sekund nebo minut jsem raději virtuálce odpojil net a pak myslím ta činnost přestala. Pak jsem povolil Defender a provedl rychlý sken, nenašlo to nic. Viditelné následky žádné, ani po restartu. Po zkouknutí Autoruns nic co by patřilo malwaru, ani zavěšená dll v registru žádná. Mám log z process monitoru, ale zkoumat jej nebudu. Jinak žádné známky toho, že by mi to přelezlo z virtuálky do pc nebo se šířilo po síti.
Je možné že jsem tomu nedal dostatek času, ale rači to znova už zkoušet nebudu
Kdyby to někdo taky testoval dejte vědět své poznatky