11-29-2025, 03:42 PM
(This post was last modified: 12-13-2025, 03:52 PM by mrwebfeeder.)
DriverPack Bundle – PUP – 2018
Nombre:
DriverPack Bundle (también conocido como “DriverPack Solution” y “DriverPack Notifier” en varias instalaciones)
Categoría:
PUP (Potentially Unwanted Program) / Bundler / Driver Updater
Fecha de descubrimiento:
2018 (documentación pública ampliamente referenciada como PUP a partir de 2018; existen variantes y campañas en años posteriores)
Comportamiento (lo que hace y archivos que infecta):
- DriverPack Bundle se distribuye como “actualizador/instalador de drivers” pero con frecuencia opera como bundle (instalador que incluye software adicional).
- Comportamientos típicos asociados a su clasificación como PUP:
- Instalación de componentes extra (notificadores, utilidades auxiliares, ofertas de terceros) junto con el módulo principal.
- Cambios en el navegador (página de inicio, motor de búsqueda, nuevas extensiones o accesos directos alterados), normalmente como efecto de bundling o “ofertas” aceptadas por el usuario durante el asistente.
- Notificaciones persistentes que insisten en “drivers faltantes/obsoletos” y recomendaciones para ejecutar acciones (en algunas campañas se percibe urgencia/marketing agresivo).
- Suele dejar artefactos en rutas como:
- C:\Program Files (x86)\DriverPack Notifier\ (en muchas instalaciones)
- Herramientas auxiliares y scripts tipo .hta (por ejemplo, “run.hta” / “notifier.hta”) usados para ejecutar o mostrar notificaciones/acciones.
- En algunos reportes de usuarios, Windows Defender lo etiqueta como PUA (Potentially Unwanted Application) relacionado a “DriverPack”.
Persistencia:
- Suele definir autoarranque para ejecutarse al iniciar Windows (entrada de inicio para todos los usuarios).
- Con frecuencia crea una o más Tareas Programadas para:
- Lanzarse en logon.
- Ejecutarse en horarios (schedule) o para actualizaciones.
- Puede mantener procesos residentes (notifier/tray) para mostrar ventanas emergentes y “recordatorios”.
Hash real de referencia (SHA-256):
Mitigación con GetOverX Shield v3.0.2.0:
Notas opcionales:
- Referencias públicas sin enlaces (para consulta interna si se requiere):
- “PUP.Optional.DriverPack” (Malwarebytes Labs / ThreatDown) – descripción de bundling y clasificación como PUP.
- “DriverPack Notifier” (Should I Remove It?) – evidencia de autoarranque y tareas programadas.
- “PUA:Win32/DriverPack” (Microsoft Q&A / reportes de usuarios) – etiqueta PUA en Windows Defender.
- “PUA.Win32.DriverPack.*” (Trend Micro Threat Encyclopedia) – ficha técnica y fecha de recepción de muestras (algunas familias/variantes).
Nombre:
DriverPack Bundle (también conocido como “DriverPack Solution” y “DriverPack Notifier” en varias instalaciones)
Categoría:
PUP (Potentially Unwanted Program) / Bundler / Driver Updater
Fecha de descubrimiento:
2018 (documentación pública ampliamente referenciada como PUP a partir de 2018; existen variantes y campañas en años posteriores)
Comportamiento (lo que hace y archivos que infecta):
- DriverPack Bundle se distribuye como “actualizador/instalador de drivers” pero con frecuencia opera como bundle (instalador que incluye software adicional).
- Comportamientos típicos asociados a su clasificación como PUP:
- Instalación de componentes extra (notificadores, utilidades auxiliares, ofertas de terceros) junto con el módulo principal.
- Cambios en el navegador (página de inicio, motor de búsqueda, nuevas extensiones o accesos directos alterados), normalmente como efecto de bundling o “ofertas” aceptadas por el usuario durante el asistente.
- Notificaciones persistentes que insisten en “drivers faltantes/obsoletos” y recomendaciones para ejecutar acciones (en algunas campañas se percibe urgencia/marketing agresivo).
- Suele dejar artefactos en rutas como:
- C:\Program Files (x86)\DriverPack Notifier\ (en muchas instalaciones)
- Herramientas auxiliares y scripts tipo .hta (por ejemplo, “run.hta” / “notifier.hta”) usados para ejecutar o mostrar notificaciones/acciones.
- En algunos reportes de usuarios, Windows Defender lo etiqueta como PUA (Potentially Unwanted Application) relacionado a “DriverPack”.
Persistencia:
- Suele definir autoarranque para ejecutarse al iniciar Windows (entrada de inicio para todos los usuarios).
- Con frecuencia crea una o más Tareas Programadas para:
- Lanzarse en logon.
- Ejecutarse en horarios (schedule) o para actualizaciones.
- Puede mantener procesos residentes (notifier/tray) para mostrar ventanas emergentes y “recordatorios”.
Hash real de referencia (SHA-256):
Code:
0fcd3cd3f32ee1af33e4d51c984faa0d69359bfabd80a029c12ced55ab0e9d8aMitigación con GetOverX Shield v3.0.2.0:
- Antivirus:
- Ejecutar Full Scan y eliminar/cuarenar:
- El instalador original (si aún existe en Downloads/Temp).
- Componentes instalados (DriverPack Notifier y binarios auxiliares).
- Luego ejecutar un scan focalizado en:
- C:\Program Files (x86)\DriverPack Notifier\
- C:\ProgramData\ (carpetas asociadas al bundle)
- %TEMP%, %APPDATA%, %LOCALAPPDATA%
- Firewall:
- Bloquear conexiones salientes no justificadas desde binarios asociados al bundle (notifier/updater), especialmente si se observan:
- Conexiones recurrentes a dominios/IPs no autorizadas.
- Tráfico de telemetría/ads o descarga de componentes.
- Si el endpoint es corporativo, aplicar política de egress restrictivo (permitir solo lo necesario) reduce el impacto de bundlers.
- HIPS/EDR:
- Monitorear y alertar ante:
- Creación de Scheduled Tasks relacionadas a “DriverPack Notifier/Update/Schedule”.
- Registro de autoarranque (Run/Startup) por componentes nuevos.
- Ejecución de mshta.exe y scripts .hta desde “Program Files (x86)\DriverPack Notifier\bin\Tools\” u rutas similares.
- Cambios en configuración del navegador (homepage/search), creación de extensiones sospechosas, y modificación de accesos directos del navegador.
- Respuesta recomendada:
- Kill process de notifier/tray si mantiene pop-ups.
- Block by hash del instalador y binarios detectados para evitar reinstalación.
- Registrar el evento (árbol de procesos + persistencia creada) para auditoría.
- Sandbox:
- Ejecutar en Sandbox cualquier “driver updater” descargado de fuentes no aprobadas.
- Señales a observar:
- Intentos de crear tareas programadas/autoarranque.
- Descarga e instalación de paquetes adicionales.
- Cambios en el navegador o instalación de extensiones.
- Medidas posteriores al incidente:
- Desinstalar el programa desde “Apps & Features / Programas y características” si existe entrada.
- Revisar y eliminar persistencia manualmente (si quedaran rastros):
- Tareas programadas asociadas.
- Entradas de inicio (Startup/Run).
- Restablecer navegador (homepage/search), remover extensiones no deseadas y limpiar accesos directos alterados.
- Revisar aplicaciones instaladas el mismo día/hora (bundling) y eliminar cualquier componente no aprobado.
Notas opcionales:
- Referencias públicas sin enlaces (para consulta interna si se requiere):
- “PUP.Optional.DriverPack” (Malwarebytes Labs / ThreatDown) – descripción de bundling y clasificación como PUP.
- “DriverPack Notifier” (Should I Remove It?) – evidencia de autoarranque y tareas programadas.
- “PUA:Win32/DriverPack” (Microsoft Q&A / reportes de usuarios) – etiqueta PUA en Windows Defender.
- “PUA.Win32.DriverPack.*” (Trend Micro Threat Encyclopedia) – ficha técnica y fecha de recepción de muestras (algunas familias/variantes).