rundll32.exe

rundll32.exe permet de charger et d’exécuter des fonctions stockées dans des bibliothèques de liens dynamiques (dll). Microsoft Docs

Localisation

  • %SYSTEMROOT%\System32\rundll32.exe
  • %SYSTEMROOT%\SysWOW64\rundll32.exe

Remarques

  • Rundll32.exe peut-être utilisé par des applications légitimes afin de charger un fichier DLL, mais aussi par des logiciels malveillants (virus, trojan, cheval de troie etc) afin de charger une DLL malveillante. ex: rundll32.exe <DLLname\DLLpath>,<DLLfunction>

  • Par exemple, lorsque l’on effectue un click droit sur un fichier , puis qu’on sélectionne “Open With” la commande résultante sera : rundll32.exe C:\Windows\System32\shell32.dll,OpenAs_RunDLL <file_path>

  • Rundll32.exe peut également être utilisé pour exécuter les fichiers d’éléments du panneau de configuration (.cpl) par le biais des fonctions non documentées de shell32.dll ( Control_RunDLL et Control_RunDLLAsUser ) : rundll32.exe shell32.dll,Control_RunDLL C:\WINDOWS\System32\timedate.cpl

  • Rundll32.exe permet également d’exécuter du javascript (c’est généralement une activité suspecte) : rundll32.exe javascript:"\..\mshtml,RunHTMLApplication "<HTML Code>"