GETOVERX FORUM Community Support
WinZip Driver Updater – PUP – 2013 - Printable Version

+- GETOVERX FORUM Community Support (https://forum.getoverx.com)
+-- Forum: Malware Docs (https://forum.getoverx.com/forumdisplay.php?fid=12)
+--- Forum: PUA / PUP (Aplicaciones potencialmente no deseadas) (https://forum.getoverx.com/forumdisplay.php?fid=25)
+--- Thread: WinZip Driver Updater – PUP – 2013 (/showthread.php?tid=52)

WinZip Driver Updater – PUP – 2013 - mrwebfeeder - 11-29-2025

Nombre:
WinZip Driver Updater (WinZip / Corel)

Categoría:
PUP (Potentially Unwanted Program) / Driver Updater

Fecha de descubrimiento:
c. 2013 (aprox.; el producto existe desde “hace más de una década”)

Comportamiento (lo que hace y archivos que infecta):
- WinZip Driver Updater es un software comercial de “actualización de drivers” que realiza escaneos del sistema y muestra resultados, pero con frecuencia genera notificaciones y avisos persistentes para impulsar la compra/activación (“urgencia” por supuestos problemas o drivers desactualizados).
- Aunque no es necesariamente un “malware clásico” (ransomware/stealer), muchas soluciones de seguridad lo clasifican como PUP por su comportamiento intrusivo, marketing agresivo y por instalar componentes adicionales (notificadores, bandeja, tareas).
- Suele instalarse como:
  - Ejecutables principales y auxiliares (por ejemplo: DriverUpdater.exe, DUNotifier.exe, tray.exe, etc.).
  - Datos/configuración en C:\ProgramData\WinZip\WinZip Driver Updater\ (incluyendo respaldos y archivos de configuración).
- Puede comunicarse a Internet para:
  - Consultar actualizaciones/estado/licenciamiento.
  - Telemetría/estadísticas (según la variante/campaña/paquete de instalación).

Persistencia:
- Frecuentemente configura inicio automático (autostart) y/o un ajuste de “Run at startup”.
- Puede crear Tareas Programadas para ejecutarse en logon y en modo “schedule/update”, por ejemplo:
  - Start WinZip Driver Updater for {computername}@{username}(logon)
  - Start WinZip Driver Updater Schedule
  - Start WinZip Driver Updater Update
- Puede dejar accesos directos (por ejemplo en el escritorio) y ejecutables auxiliares para notificaciones y bandeja del sistema.

Hash real de referencia (SHA-256):
Code:
818d393b502a3fef64b2bfe37ff39d1319f359398eff0ed96d7c0f3a1171755c

Mitigación con GetOverX Shield v3.0.2.0:
  • Antivirus:
    - Ejecutar Full Scan y eliminar/cuarenar los binarios asociados (DriverUpdater.exe, DUNotifier.exe, tray.exe, etc.) y sus carpetas de datos en ProgramData.
    - Recomendación práctica: tras limpieza, ejecutar un segundo escaneo focalizado en:
      - C:\Program Files\WinZip Driver Updater\
      - C:\ProgramData\WinZip\
      - %APPDATA% y %LOCALAPPDATA% (si existieran restos de configuración).

  • Firewall:
    - Bloquear conexiones salientes de DriverUpdater.exe y componentes asociados si el objetivo es detener pop-ups/telemetría.
    - Si el instalador provino de una fuente no confiable (cracks/bundlers), aplicar bloqueo temporal de salida y análisis completo, ya que un “driver updater” trojanizado puede actuar como dropper.

  • HIPS/EDR:
    - Vigilar y alertar cuando un instalador o proceso cree persistencia típica de PUP:
      - Creación/modificación de Scheduled Tasks con nombres “Start WinZip Driver Updater …”
      - Registro en Startup/Run para ejecución al iniciar sesión
      - Creación repetitiva de notificaciones y procesos residentes (bandeja/notifier)
    - Respuesta recomendada:
      - Kill process de módulos residentes (notifier/tray) si generan spam de ventanas.
      - Block by hash del ejecutable/instalador identificado (y su updater), si se desea evitar reinstalación.

  • Sandbox:
    - Antes de instalar “optimizadores/driver updaters”, ejecutar el instalador en Sandbox para verificar:
      - Si crea tareas programadas, autoarranque y módulos de notificación.
      - Si intenta forzar compra con mensajes de urgencia o redirecciones.
    - Si el instalador procede de un sitio no oficial, la Sandbox ayuda a descartar comportamiento de dropper real.

  • Medidas posteriores al incidente:
    - Revisar y eliminar persistencia:
      - Tareas programadas relacionadas, entradas de inicio y carpetas residuales.
    - Confirmar que no haya software adicional instalado junto con el PUP (bundling).
    - Si se detectó origen dudoso (descarga desde anuncios/“drivers gratis”/cracks), cambiar contraseñas solo si hubo evidencia de malware adicional; en caso contrario, basta con saneamiento y endurecimiento (permitir instalación solo desde fuentes aprobadas).

Notas opcionales:
- Este tipo de utilidades de “driver updater” es frecuentemente desaconsejado por su impacto y riesgo operacional (drivers incorrectos, estabilidad) y por prácticas intrusivas.

- Hash aportado (opcional, por si deseas mantenerlo como referencia adicional):
 
Code:
49f9a840d3b03c4a4adfaefe862cd05fab31b4ce6548a51939d2fb967dc4d393