GETOVERX FORUM Community Support
PUA/PUP – DriverPack Bundleware - Printable Version

+- GETOVERX FORUM Community Support (https://forum.getoverx.com)
+-- Forum: Malware Docs (https://forum.getoverx.com/forumdisplay.php?fid=12)
+--- Forum: PUA / PUP (Aplicaciones potencialmente no deseadas) (https://forum.getoverx.com/forumdisplay.php?fid=25)
+--- Thread: PUA/PUP – DriverPack Bundleware (/showthread.php?tid=36)

PUA/PUP – DriverPack Bundleware - mrwebfeeder - 11-29-2025

DriverPack Bundle – PUP – 2018

Nombre:
DriverPack Bundle (también conocido como “DriverPack Solution” y “DriverPack Notifier” en varias instalaciones)

Categoría:
PUP (Potentially Unwanted Program) / Bundler / Driver Updater

Fecha de descubrimiento:
2018 (documentación pública ampliamente referenciada como PUP a partir de 2018; existen variantes y campañas en años posteriores)

Comportamiento (lo que hace y archivos que infecta):
- DriverPack Bundle se distribuye como “actualizador/instalador de drivers” pero con frecuencia opera como bundle (instalador que incluye software adicional).
- Comportamientos típicos asociados a su clasificación como PUP:
- Instalación de componentes extra (notificadores, utilidades auxiliares, ofertas de terceros) junto con el módulo principal.
- Cambios en el navegador (página de inicio, motor de búsqueda, nuevas extensiones o accesos directos alterados), normalmente como efecto de bundling o “ofertas” aceptadas por el usuario durante el asistente.
- Notificaciones persistentes que insisten en “drivers faltantes/obsoletos” y recomendaciones para ejecutar acciones (en algunas campañas se percibe urgencia/marketing agresivo).
- Suele dejar artefactos en rutas como:
- C:\Program Files (x86)\DriverPack Notifier\ (en muchas instalaciones)
- Herramientas auxiliares y scripts tipo .hta (por ejemplo, “run.hta” / “notifier.hta”) usados para ejecutar o mostrar notificaciones/acciones.
- En algunos reportes de usuarios, Windows Defender lo etiqueta como PUA (Potentially Unwanted Application) relacionado a “DriverPack”.

Persistencia:
- Suele definir autoarranque para ejecutarse al iniciar Windows (entrada de inicio para todos los usuarios).
- Con frecuencia crea una o más Tareas Programadas para:
- Lanzarse en logon.
- Ejecutarse en horarios (schedule) o para actualizaciones.
- Puede mantener procesos residentes (notifier/tray) para mostrar ventanas emergentes y “recordatorios”.

Hash real de referencia (SHA-256):
Code:
0fcd3cd3f32ee1af33e4d51c984faa0d69359bfabd80a029c12ced55ab0e9d8a

Mitigación con GetOverX Shield v3.0.2.0:
  • Antivirus:
    - Ejecutar Full Scan y eliminar/cuarenar:
    - El instalador original (si aún existe en Downloads/Temp).
    - Componentes instalados (DriverPack Notifier y binarios auxiliares).
    - Luego ejecutar un scan focalizado en:
    - C:\Program Files (x86)\DriverPack Notifier\
    - C:\ProgramData\ (carpetas asociadas al bundle)
    - %TEMP%, %APPDATA%, %LOCALAPPDATA%

  • Firewall:
    - Bloquear conexiones salientes no justificadas desde binarios asociados al bundle (notifier/updater), especialmente si se observan:
    - Conexiones recurrentes a dominios/IPs no autorizadas.
    - Tráfico de telemetría/ads o descarga de componentes.
    - Si el endpoint es corporativo, aplicar política de egress restrictivo (permitir solo lo necesario) reduce el impacto de bundlers.

  • HIPS/EDR:
    - Monitorear y alertar ante:
    - Creación de Scheduled Tasks relacionadas a “DriverPack Notifier/Update/Schedule”.
    - Registro de autoarranque (Run/Startup) por componentes nuevos.
    - Ejecución de mshta.exe y scripts .hta desde “Program Files (x86)\DriverPack Notifier\bin\Tools\” u rutas similares.
    - Cambios en configuración del navegador (homepage/search), creación de extensiones sospechosas, y modificación de accesos directos del navegador.
    - Respuesta recomendada:
    - Kill process de notifier/tray si mantiene pop-ups.
    - Block by hash del instalador y binarios detectados para evitar reinstalación.
    - Registrar el evento (árbol de procesos + persistencia creada) para auditoría.

  • Sandbox:
    - Ejecutar en Sandbox cualquier “driver updater” descargado de fuentes no aprobadas.
    - Señales a observar:
    - Intentos de crear tareas programadas/autoarranque.
    - Descarga e instalación de paquetes adicionales.
    - Cambios en el navegador o instalación de extensiones.

  • Medidas posteriores al incidente:
    - Desinstalar el programa desde “Apps & Features / Programas y características” si existe entrada.
    - Revisar y eliminar persistencia manualmente (si quedaran rastros):
    - Tareas programadas asociadas.
    - Entradas de inicio (Startup/Run).
    - Restablecer navegador (homepage/search), remover extensiones no deseadas y limpiar accesos directos alterados.
    - Revisar aplicaciones instaladas el mismo día/hora (bundling) y eliminar cualquier componente no aprobado.

Notas opcionales:
- Referencias públicas sin enlaces (para consulta interna si se requiere):
- “PUP.Optional.DriverPack” (Malwarebytes Labs / ThreatDown) – descripción de bundling y clasificación como PUP.
- “DriverPack Notifier” (Should I Remove It?) – evidencia de autoarranque y tareas programadas.
- “PUA:Win32/DriverPack” (Microsoft Q&A / reportes de usuarios) – etiqueta PUA en Windows Defender.
- “PUA.Win32.DriverPack.*” (Trend Micro Threat Encyclopedia) – ficha técnica y fecha de recepción de muestras (algunas familias/variantes).