По поводу расширений файлов.
Нужно понимать, на что способен софт, которым вы открываете файлы, и может ли софт открыть какой-то файл и интерпретировать его содержимое как макрос.
Например, zip-файл можно открыть любым архиватором, и вряд ли есть способ, чтобы что-то распаковать из этого архива архиватором и запустить на исполнение, не применив дополнительную команду.
Другое дело, у вас есть docx, xlsx, pptx файлы, которые тоже по своей природе zip-архивы, но вы эти файлы открываете уже не архиватором, как правило, а офисным приложением. Если открывать такие файлы MS Office-ом, то вполне реально помимо работы с содержимым документа получить автоматическое выполнение VB-скриптов (офис предупредит об этом, но все же), которые могут иметь доступ к окружению ОС - это уже будет реальным вектором атаки.
На примере jpg - та же самая история. Если это действительно JPEG, то любой графический редактор откроет содержимое. Но, например, стоит туда положить содержимое не JPEG, а например, PSD c active-скриптами, то какой-нибудь Photoshop захочет по-другому открыть содержимое, и выполнить макросы, которые возможны в PSD.
Самое печальное, что в современные ОС, в проводники встраивают функционал предварительного чтения содержимого файла и отображения миниатюр и кратких сведений о файле (не касающегося его размера и прочих параметров файловой системы). Если эта технология предварительного просмотра будет способна запустить макрос из "правильно сформированного" файла, то это не есть хорошо.
