Come è possibile che un file .DLL abbia un virus?

Una DLL è una Dynamic Link Library. Una libreria di computer che contiene un insieme di funzioni che sono chiamate da un file eseguibile PE (.exe). Queste funzioni hanno un nome o un punto di ingresso che può essere chiamato da molti eseguibili diversi e possono essere utilizzati come payload trojan.

Per esempio, se si sostituisce una funzione/metodo di una libreria DLL molto comune con il proprio delta che contiene la funzione originale e un payload virus, allora qualsiasi programma che chiama il metodo descritto può inizializzare o eseguire un payload trojan.

Se si scarica una libreria windows molto comune utilizzata da migliaia di applicazioni come gdiplus.dll da qualche sito web non affidabile da internet è possibile che qualche hacker malintenzionato possa sostituire la funzione originale GdiplusStartup e aggiungere un payload per un trojan.

Anche molti virus e trojan possono distribuire parte della loro funzionalità dannosa in diverse DLL usando nomi di DLL molto popolari, così possono cercare di eludere qualche antivirus o un'ispezione manuale ad occhio umano.

Se non vi fidate di nessuna DLL scaricata da Internet, date un'occhiata se la DLL è firmata e dovreste anche eseguire una scansione antivirus usando un buon antivirus.