Como é possível que um arquivo .DLL tenha um vírus?

A DLL é uma Biblioteca de Links Dinâmicos. Uma biblioteca de computadores que contém um conjunto de funções que são chamadas por um arquivo executável PE (.exe). Essas funções têm um nome ou ponto de entrada que pode ser chamado por muitos executáveis diferentes e podem ser usadas como um payload de trojan.

Por exemplo, se você substituir uma função/método de uma biblioteca DLL muito comum por um delta próprio que contém a função original e um payload de vírus, então qualquer programa que chamar o método descrito pode inicializar ou executar um payload de trojan.

Se você baixar uma biblioteca Windows muito comum usada por milhares de aplicações como o gdiplus.dll de algum site não confiável da internet é possível que algum hacker malicioso possa substituir a função original da função GdiplusStartup e adicionar uma carga útil para um trojan.

Muitos vírus e trojans podem distribuir parte de sua funcionalidade maliciosa em diferentes DLLs usando nomes de DLLs muito populares, assim eles podem tentar escapar de algum anti-vírus ou uma inspeção manual dos olhos humanos.

Se você não confia em nenhuma DLL baixada da Internet, basta dar uma olhada se a DLL estiver assinada e você também deve realizar uma verificação de vírus usando um bom antivírus.