rundll32.exe est un processus légitime de Windows qui permet de charger un fichier DLL.
Rundll32.exe n’a donc rien à voir avec des logiciels malveillants : virus, cheval de troie (trojan), adwares et autres.
La DLL sera rendue active et pourra effectuer les opérations pour lesquelles a été conçues.
Ainsi, rundll32.exe peut-être utilisé par des applications légitimes afin de charger un fichier DLL, mais aussi par des logiciels malveillants (virus, trojan, cheval de troie etc) afin de charger une DLL malveillante.
Qu’est-ce que Rundll32.exe
Rundll32.exe est donc un fichier légitime qui se trouve dans C:\Windows\System32 et C:\Windows\syswow64\rundll32.exe pour les Windows 64-bits.
Ce processus rundll32 permet, en utilisant un argument, de lancer un fichier DLL.
Ces deux clés Run qui permettent de lancer une application au démarrage de la session utilisateur Windows.
Ainsi, on trouve en argument le fichier DLL, et le module à charger, soit ShowWelcomeCenter ou NvStartup.
HKU\S-1-5-19\...\Run: [WindowsWelcomeCenter] - rundll32.exe oobefldr.dll,ShowWelcomeCenter O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
Dans ce cas là, rundll32.exe apparaît alors dans les processus Windows.
Ci-dessous des captures d’écran du processus rundll32 en cours d’exécution.
Depuis le gestionnaire de tâches de Windows, il faut ajouter la colonne ligne de commandes pour obtenir le chemin des DLL chargées par rundll32.exe :
Les erreurs RunDLL
Ces erreurs RunDLL sont tout simplement dues au fait que des points de chargement de Windows sont présents dans le registre et appel rundl32 avec une DLL.
La DLL a été supprimée, probablement à la suite d’une désinfection.
rundll32.exe ne trouve pas le fichier DLL et vous le fait savoir avec ce message d’erreur “module introuvable”.
Rundll32 et les virus
Le fichier ou processus rundll32.exe est donc légitime lorsqu’il se trouve dans le répertoire Windows\system32 ou Windows\syswow64.
S’il se trouve dans un autre emplacement, le fichier rundl32.exe probablement malveillant.
Vous pouvez le vérifier en effectuant une analyse VirusTotal.
Mais surtout, un malware peut utiliser rundll32.exe peut charger un fichier DLL malveillant.
Il convient alors de vérifier la ligne de commandes et la cible.
Par exemple ci-dessous, un fichier DLL avec un nom aléatoire dans un répertoire aléatoire de Program Files, ce qui n’est pas discret.
A noter qu’un Trojan peut copier le fichier rundll32.exe sous un autre nom pour lancer une DLL malveillante :
Enfin les familles Emotet, Quakbot, Icedid et bien d’autres utilisent aussi regsvr32 pour charger une DLL malveillante à travers les LNK malware :