11-29-2025, 03:59 PM
(This post was last modified: 12-13-2025, 03:49 PM by mrwebfeeder.)
Nombre:
WinZip Driver Updater (WinZip / Corel)
Categoría:
PUP (Potentially Unwanted Program) / Driver Updater
Fecha de descubrimiento:
c. 2013 (aprox.; el producto existe desde “hace más de una década”)
Comportamiento (lo que hace y archivos que infecta):
- WinZip Driver Updater es un software comercial de “actualización de drivers” que realiza escaneos del sistema y muestra resultados, pero con frecuencia genera notificaciones y avisos persistentes para impulsar la compra/activación (“urgencia” por supuestos problemas o drivers desactualizados).
- Aunque no es necesariamente un “malware clásico” (ransomware/stealer), muchas soluciones de seguridad lo clasifican como PUP por su comportamiento intrusivo, marketing agresivo y por instalar componentes adicionales (notificadores, bandeja, tareas).
- Suele instalarse como:
- Ejecutables principales y auxiliares (por ejemplo: DriverUpdater.exe, DUNotifier.exe, tray.exe, etc.).
- Datos/configuración en C:\ProgramData\WinZip\WinZip Driver Updater\ (incluyendo respaldos y archivos de configuración).
- Puede comunicarse a Internet para:
- Consultar actualizaciones/estado/licenciamiento.
- Telemetría/estadísticas (según la variante/campaña/paquete de instalación).
Persistencia:
- Frecuentemente configura inicio automático (autostart) y/o un ajuste de “Run at startup”.
- Puede crear Tareas Programadas para ejecutarse en logon y en modo “schedule/update”, por ejemplo:
- Start WinZip Driver Updater for {computername}@{username}(logon)
- Start WinZip Driver Updater Schedule
- Start WinZip Driver Updater Update
- Puede dejar accesos directos (por ejemplo en el escritorio) y ejecutables auxiliares para notificaciones y bandeja del sistema.
Hash real de referencia (SHA-256):
Mitigación con GetOverX Shield v3.0.2.0:
Notas opcionales:
- Este tipo de utilidades de “driver updater” es frecuentemente desaconsejado por su impacto y riesgo operacional (drivers incorrectos, estabilidad) y por prácticas intrusivas.
- Hash aportado (opcional, por si deseas mantenerlo como referencia adicional):
WinZip Driver Updater (WinZip / Corel)
Categoría:
PUP (Potentially Unwanted Program) / Driver Updater
Fecha de descubrimiento:
c. 2013 (aprox.; el producto existe desde “hace más de una década”)
Comportamiento (lo que hace y archivos que infecta):
- WinZip Driver Updater es un software comercial de “actualización de drivers” que realiza escaneos del sistema y muestra resultados, pero con frecuencia genera notificaciones y avisos persistentes para impulsar la compra/activación (“urgencia” por supuestos problemas o drivers desactualizados).
- Aunque no es necesariamente un “malware clásico” (ransomware/stealer), muchas soluciones de seguridad lo clasifican como PUP por su comportamiento intrusivo, marketing agresivo y por instalar componentes adicionales (notificadores, bandeja, tareas).
- Suele instalarse como:
- Ejecutables principales y auxiliares (por ejemplo: DriverUpdater.exe, DUNotifier.exe, tray.exe, etc.).
- Datos/configuración en C:\ProgramData\WinZip\WinZip Driver Updater\ (incluyendo respaldos y archivos de configuración).
- Puede comunicarse a Internet para:
- Consultar actualizaciones/estado/licenciamiento.
- Telemetría/estadísticas (según la variante/campaña/paquete de instalación).
Persistencia:
- Frecuentemente configura inicio automático (autostart) y/o un ajuste de “Run at startup”.
- Puede crear Tareas Programadas para ejecutarse en logon y en modo “schedule/update”, por ejemplo:
- Start WinZip Driver Updater for {computername}@{username}(logon)
- Start WinZip Driver Updater Schedule
- Start WinZip Driver Updater Update
- Puede dejar accesos directos (por ejemplo en el escritorio) y ejecutables auxiliares para notificaciones y bandeja del sistema.
Hash real de referencia (SHA-256):
Code:
818d393b502a3fef64b2bfe37ff39d1319f359398eff0ed96d7c0f3a1171755cMitigación con GetOverX Shield v3.0.2.0:
- Antivirus:
- Ejecutar Full Scan y eliminar/cuarenar los binarios asociados (DriverUpdater.exe, DUNotifier.exe, tray.exe, etc.) y sus carpetas de datos en ProgramData.
- Recomendación práctica: tras limpieza, ejecutar un segundo escaneo focalizado en:
- C:\Program Files\WinZip Driver Updater\
- C:\ProgramData\WinZip\
- %APPDATA% y %LOCALAPPDATA% (si existieran restos de configuración).
- Firewall:
- Bloquear conexiones salientes de DriverUpdater.exe y componentes asociados si el objetivo es detener pop-ups/telemetría.
- Si el instalador provino de una fuente no confiable (cracks/bundlers), aplicar bloqueo temporal de salida y análisis completo, ya que un “driver updater” trojanizado puede actuar como dropper.
- HIPS/EDR:
- Vigilar y alertar cuando un instalador o proceso cree persistencia típica de PUP:
- Creación/modificación de Scheduled Tasks con nombres “Start WinZip Driver Updater …”
- Registro en Startup/Run para ejecución al iniciar sesión
- Creación repetitiva de notificaciones y procesos residentes (bandeja/notifier)
- Respuesta recomendada:
- Kill process de módulos residentes (notifier/tray) si generan spam de ventanas.
- Block by hash del ejecutable/instalador identificado (y su updater), si se desea evitar reinstalación.
- Sandbox:
- Antes de instalar “optimizadores/driver updaters”, ejecutar el instalador en Sandbox para verificar:
- Si crea tareas programadas, autoarranque y módulos de notificación.
- Si intenta forzar compra con mensajes de urgencia o redirecciones.
- Si el instalador procede de un sitio no oficial, la Sandbox ayuda a descartar comportamiento de dropper real.
- Medidas posteriores al incidente:
- Revisar y eliminar persistencia:
- Tareas programadas relacionadas, entradas de inicio y carpetas residuales.
- Confirmar que no haya software adicional instalado junto con el PUP (bundling).
- Si se detectó origen dudoso (descarga desde anuncios/“drivers gratis”/cracks), cambiar contraseñas solo si hubo evidencia de malware adicional; en caso contrario, basta con saneamiento y endurecimiento (permitir instalación solo desde fuentes aprobadas).
Notas opcionales:
- Este tipo de utilidades de “driver updater” es frecuentemente desaconsejado por su impacto y riesgo operacional (drivers incorrectos, estabilidad) y por prácticas intrusivas.
- Hash aportado (opcional, por si deseas mantenerlo como referencia adicional):
Code:
49f9a840d3b03c4a4adfaefe862cd05fab31b4ce6548a51939d2fb967dc4d393
