Edición 1: Vea la excelente respuesta de @Ori sobre cómo Microsoft ha firmado un paquete de estos ejecutables. Dejo esta respuesta aquí porque creo que mi argumento sobre si los archivos no están firmados individualmente con Authenticode (sobre lo que informa VirusTotal) todavía es válido. Finalizar adición
No pude encontrar una respuesta oficial de Microsoft, pero tengo una teoría de por qué este programa (y otros similares) no están firmados directamente.
He revisado varias de mis computadoras y máquinas virtuales y encontré que este archivo no tiene un Autenticodo firmado, al menos no de cualquier forma que reconozca. Tengo varias versiones diferentes de este archivo (hace 8 años). Las copias limpias de Windows 10 (compilaciones diferentes) tienen diferentes versiones y sellos de tiempo, por lo que parece que Microsoft actualiza este archivo.
Bien, entonces ¿por qué Microsoft no firmará este archivo? Creo que la respuesta se encuentra en el propósito de rundll32.exe. Rundll32.exe se utiliza para ejecutar dlls que tienen la funcionalidad que se necesita pero no tienen ejes para ejecutarlos. Puedes ver algunos ejemplos en este artículo de How To Geek .
Las firmas de Authenticode imponen la identidad, determinan lo que aparece en una solicitud de UAC y ayudan a garantizar que no se manipule un archivo. Si una dll que forma parte de un proceso solicita una elevación, la firma del exe se usa para la solicitud del UAC, ya que ese es el proceso que se está ejecutando, no la dll.
Ahora, para algunas conjeturas, averigüe por qué el archivo no está firmado. Debido a que rundll32.exe ejecuta un código de terceros desconocido como parte de su propósito, una firma sería mala para la seguridad. El código de nivel de modo de usuario puede solicitar que rundll32.exe ejecute su dll. Si una dll solicitó una elevación, la ventana emergente mostraría rundll32.exe, que está firmado y verificado por Microsoft, y le solicita permisos de administrador. Esto haría que la gente sea mucho más probable que diga que sí si un programa de autor desconocido solicita permiso, que es su comportamiento actual. Debido a que Microsoft no puede garantizar razonablemente la función o la seguridad del código que ejecuta rundll32.exe, sería peligroso que lo firmen directamente.
Edición 1: @Ori ha descubierto cómo Windows valida estos archivos. Este último párrafo está aquí sólo para la historia. Finalizar adición
Ahora, esto no significa que el sistema operativo Windows no valide run32dll.exe. Podría (más trabajo de adivinar) comparar el hash del archivo para determinar si algo lo ha manipulado. Y luego ejecutarlo solo si es un archivo válido.