Que es rundll32.exe
Vamos a ver que es rundll32.exe. Muchas veces seguramente has visto muchos rundll32.exe en el administrador de tareas y te has preguntado qué son y que función tienen. En esta guía vamos a intentar explicar que es rundll32.exe y para qué sirve.
rundll32.exe es un componente legítimo y muy importante del sistema operativo Windows. Su nombre significa literalmente «Run DLL as an application» (ejecutar una DLL como aplicación).
¿Qué hace exactamente?
Sirve para cargar y ejecutar código que está dentro de archivos .DLL (Dynamic Link Library o Bibliotecas de Enlace Dinámico). Las DLL contienen funciones y código que pueden ser utilizados por varios programas al mismo tiempo, y muchas partes de Windows (y programas de terceros) necesitan que se ejecuten a través de rundll32.exe.
Ejemplos comunes de uso legítimo:
- Configuraciones del Panel de Control
- Funciones de red
- Impresoras y controladores
- Elementos de la barra de tareas
- Actualizaciones de Windows
- Muchas acciones del sistema que ves en segundo plano
Por eso es normal ver varias instancias de rundll32.exe en el Administrador de Tareas (pueden aparecer 3, 5, 10 o más dependiendo de lo que estés haciendo).
Se trata de un ejecutable auténtico de Microsoft Windows, y está presente en muchas versiones de Windows incluyendo las versiones más recientes como Windows 10, Windows 8, Windows 7, Windows Vista, Windows XP, Windows 2008 Server, etc.
¿Rundll32.exe es un virus?
¿Dónde debe estar el archivo real?
Las ubicaciones legítimas son:
C:\Windows\System32\rundll32.exe- En sistemas de 64 bits también:
C:\Windows\SysWOW64\rundll32.exe(versión de 32 bits)
Si ves rundll32.exe en otra carpeta (por ejemplo: AppData, Downloads, Temp, Escritorio, etc.), casi seguro es malware disfrazado.
¿Cómo saber si es virus o el original?
Métodos rápidos para comprobar:
- Haz clic derecho → Propiedades → pestaña General o Digital Signatures → Debe estar firmado por Microsoft Corporation o Microsoft Windows
- Haz clic derecho en el proceso en el Administrador de Tareas → Abrir ubicación del archivo → Te debe llevar a System32 o SysWOW64
- Mira la línea de comandos (en Administrador de Tareas → Detalles → clic derecho → Propiedades o usa Process Explorer) → Normalmente dice algo como: rundll32.exe «C:\Windows\System32\alguna.dll»,AlgunaFuncion
Para ver si los rundll32.exe se están ejecutando desde C:Windows\System32\, puedes ir al administrador de tareas, ir a Ver -> Seleccionar columnas, y agregar la columna Linea de comandos.
Ahora en el administrador de tareas puedes ver la ruta donde se encuentra el archivo y si los rundll32.exe son auténticos o no.
Si ves cosas raras como:
- rutas extrañas
- parámetros con http:// o.js o archivos.dll en carpetas sospechosas
- muchas instancias consumiendo mucha CPU sin motivo
…entonces sí puede ser un virus/troyano que está usando el nombre rundll32.exe para pasar desapercibido (técnica muy común llamada «Living off the Land»). Realiza un escaneo con un programa antivirus comercial o un antivirus gratis.
Haga una búsqueda rápida, usando el Process Explorer en Windows 10, 8, 7, Vista, etc.
En lugar de utilizar el Administrador de tareas, podemos utilizar la utilidad del Process Explorer freeware de Microsoft para averiguar exactamente lo que está pasando, debido a que tiene la ventaja de trabajar en cada versión de Windows y ser la mejor opción para cualquier tipo de problemas.
Simplemente inicie Process Explorer y elija File\Show Details for All Processes para asegurarse de que está viendo todo.
Ahora, cuando pase el cursor sobre el rundll32.exe que aparece en la lista, verá una información con los detalles de lo que realmente es:
O puede hacer clic derecho sobre rundll32, seleccionar Propiedades y, luego, echar un vistazo a la pestaña Image para ver la ruta completa que se está iniciando, e incluso puede ver el proceso Parent, que en este caso es el Explorador de Windows (explorer.exe ). Lo que indica que probablemente se inició desde un acceso directo o desde un elemento de inicio.