<![CDATA[GETOVERX FORUM Community Support - PUA / PUP (Aplicaciones potencialmente no deseadas)]]>

<![CDATA[GETOVERX FORUM Community Support - PUA / PUP (Aplicaciones potencialmente no deseadas)]]> https://forum.getoverx.com/ Fri, 17 Apr 2026 09:51:40 +0000 MyBB <![CDATA[Bumblebee Loader – Loader/Downloader – 2022]]> https://forum.getoverx.com/showthread.php?tid=106 Fri, 05 Dec 2025 16:06:27 +0000 mrwebfeeder]]> https://forum.getoverx.com/showthread.php?tid=106 Nombre:
Bumblebee (también referenciado como BUMBLEBEE; algunos trackers lo listan con alias como COLDTRAIN / SHELLSTING / Shindig)

Categoría:
Loader / Downloader (dropper de malware)

Fecha de descubrimiento:
Marzo 2022

Comportamiento (lo que hace y archivos que infecta):
- Bumblebee es un loader modular orientado a obtener ejecución inicial y luego descargar/ejecutar payloads adicionales (por ejemplo Cobalt Strike, Sliver, Meterpreter, troyanos bancarios y, en etapas posteriores, ransomware).
- Se distribuye principalmente por campañas de phishing/spam con adjuntos o enlaces a archivos (ISO/IMG/ZIP, documentos con macros, LNK/HTA, etc.) y también mediante instaladores trojanizados de software popular (ej.: supuestos “Zoom”, “VPN”, “AnyConnect”, “ChatGPT” falsos).
- Una vez ejecutado, suele:
- Extraer o desplegar componentes (DLL/EXE) en rutas como %TEMP%, %APPDATA% u otros subdirectorios de usuario.
- Realizar inyección de código o carga de DLL (con técnicas de loader) para ejecutar su lógica y evadir defensas.
- Establecer comunicación con su infraestructura C2 (HTTP/HTTPS) y descargar módulos/payloads (a veces en memoria o en disco, dependiendo de la campaña).
- En general, su meta no es “infectar archivos” del usuario, sino mantener presencia temporal y habilitar la entrega del malware final (RAT/stealer/ransomware), que luego implementa su propio ciclo de robo/cifrado/persistencia.

Persistencia:
- Puede lograr persistencia copiando su DLL a un subdirectorio de %APPDATA% y creando un script VBS que carga dicha DLL.
- Frecuentemente usa Tarea Programada para relanzarse en cada inicio de sesión o en intervalos, y en algunas variantes puede apoyarse en claves de registro tipo Run/RunOnce.
- En entornos comprometidos, el loader solo necesita persistir lo suficiente para desplegar la carga principal (por ejemplo, un beacon), que luego establece persistencia propia.

Hash real de referencia (SHA-256):

Code:
513debb182434aed644e41b9dff915bc6e32bb63f70031a54a13ff145521ff8e

Mitigación con GetOverX Shield v3.0.2.0:

Antivirus:
- Ejecutar un Full Scan en el endpoint afectado, priorizando:
- %TEMP%, %APPDATA%, %LOCALAPPDATA%, Downloads, Desktop y rutas de ejecución reciente.
- Si el AV detecta componentes del loader, aplicar cuarentena/eliminación y luego re-escanear para ubicar payloads descargados (beacons, droppers secundarios, herramientas de post-explotación).
Firewall:
- Bloquear conexiones salientes no justificadas desde procesos que ejecuten o carguen desde:
- %TEMP% / %APPDATA% / carpetas de usuario no estándar.
- Restringir egress hacia:
- IPs no autorizadas, ASN/hosting sospechosos, y dominios recién registrados (cuando aplique política de reputación).
- Si hay sospecha de payload de post-explotación (Cobalt Strike/Sliver), aplicar aislamiento temporal del host (bloqueo de salida a Internet o segmentación) para cortar el C2.
HIPS/EDR:
- Activar detección de cadena típica de infección:
- Procesos hijos anómalos desde WINWORD/EXCEL/OUTLOOK, OneNote, explorer.exe hacia rundll32.exe, regsvr32.exe, mshta.exe, wscript.exe/cscript.exe, powershell.exe.
- Creación repentina de DLL/EXE en %TEMP%/%APPDATA% y ejecución inmediata.
- Creación/edición de Scheduled Tasks y/o scripts .vbs asociados a carga de DLL.
- Indicadores de inyección (procesos con comportamiento de APC injection / memoria ejecutable anómala / spawn de procesos “living-off-the-land” sin motivo).
- Respuesta recomendada:
- Kill process del proceso origen y descendientes sospechosos.
- Block by hash de binarios detectados (loader y módulos).
- Registrar árbol de procesos y conexiones de red para hunting interno.
Sandbox:
- Ejecutar en Sandbox antes de abrir/instalar:
- Adjuntos descargados desde correo, archivos .iso/.img/.zip, .lnk, .hta, instaladores .msi/.exe de procedencia dudosa.
- Señales a observar en Sandbox:
- Escrituras en %TEMP%/%APPDATA%, creación de scripts .vbs, intento de crear tarea programada, y conexiones salientes inmediatas a C2.
Medidas posteriores al incidente:
- Rotación de credenciales (AD, correo, VPN, RDP, paneles de hosting, cuentas administrativas locales).
- Revisar y remover persistencias:
- Scheduled Tasks, claves Run/RunOnce, servicios nuevos, accesos directos alterados.
- Validar si hubo post-explotación:
- Herramientas tipo beacons, dumping de credenciales (LSASS), enumeración de red y movimiento lateral.
- Restaurar desde backups offline si hubo payload destructivo (ransomware) o si no hay certeza de limpieza completa.

Notas opcionales:
- Reportes públicos útiles (análisis y contexto):
- Proofpoint: análisis del loader y su evolución (2022–2024).
- Kroll: vínculo observado con operaciones de ransomware (Quantum Locker).
- MITRE ATT&CK (Software S1039 Bumblebee) y técnica de persistencia por Scheduled Task (T1053.005).
- Cisco Umbrella: detalles de cadena de infección (ISO/IMG) y persistencia con VBS + tarea programada.]]> Nombre:
Bumblebee (también referenciado como BUMBLEBEE; algunos trackers lo listan con alias como COLDTRAIN / SHELLSTING / Shindig)

Categoría:
Loader / Downloader (dropper de malware)

Fecha de descubrimiento:
Marzo 2022

Comportamiento (lo que hace y archivos que infecta):
- Bumblebee es un loader modular orientado a obtener ejecución inicial y luego descargar/ejecutar payloads adicionales (por ejemplo Cobalt Strike, Sliver, Meterpreter, troyanos bancarios y, en etapas posteriores, ransomware).
- Se distribuye principalmente por campañas de phishing/spam con adjuntos o enlaces a archivos (ISO/IMG/ZIP, documentos con macros, LNK/HTA, etc.) y también mediante instaladores trojanizados de software popular (ej.: supuestos “Zoom”, “VPN”, “AnyConnect”, “ChatGPT” falsos).
- Una vez ejecutado, suele:
- Extraer o desplegar componentes (DLL/EXE) en rutas como %TEMP%, %APPDATA% u otros subdirectorios de usuario.
- Realizar inyección de código o carga de DLL (con técnicas de loader) para ejecutar su lógica y evadir defensas.
- Establecer comunicación con su infraestructura C2 (HTTP/HTTPS) y descargar módulos/payloads (a veces en memoria o en disco, dependiendo de la campaña).
- En general, su meta no es “infectar archivos” del usuario, sino mantener presencia temporal y habilitar la entrega del malware final (RAT/stealer/ransomware), que luego implementa su propio ciclo de robo/cifrado/persistencia.

Persistencia:
- Puede lograr persistencia copiando su DLL a un subdirectorio de %APPDATA% y creando un script VBS que carga dicha DLL.
- Frecuentemente usa Tarea Programada para relanzarse en cada inicio de sesión o en intervalos, y en algunas variantes puede apoyarse en claves de registro tipo Run/RunOnce.
- En entornos comprometidos, el loader solo necesita persistir lo suficiente para desplegar la carga principal (por ejemplo, un beacon), que luego establece persistencia propia.

Hash real de referencia (SHA-256):

Code:
513debb182434aed644e41b9dff915bc6e32bb63f70031a54a13ff145521ff8e

Mitigación con GetOverX Shield v3.0.2.0:

Antivirus:
- Ejecutar un Full Scan en el endpoint afectado, priorizando:
- %TEMP%, %APPDATA%, %LOCALAPPDATA%, Downloads, Desktop y rutas de ejecución reciente.
- Si el AV detecta componentes del loader, aplicar cuarentena/eliminación y luego re-escanear para ubicar payloads descargados (beacons, droppers secundarios, herramientas de post-explotación).
Firewall:
- Bloquear conexiones salientes no justificadas desde procesos que ejecuten o carguen desde:
- %TEMP% / %APPDATA% / carpetas de usuario no estándar.
- Restringir egress hacia:
- IPs no autorizadas, ASN/hosting sospechosos, y dominios recién registrados (cuando aplique política de reputación).
- Si hay sospecha de payload de post-explotación (Cobalt Strike/Sliver), aplicar aislamiento temporal del host (bloqueo de salida a Internet o segmentación) para cortar el C2.
HIPS/EDR:
- Activar detección de cadena típica de infección:
- Procesos hijos anómalos desde WINWORD/EXCEL/OUTLOOK, OneNote, explorer.exe hacia rundll32.exe, regsvr32.exe, mshta.exe, wscript.exe/cscript.exe, powershell.exe.
- Creación repentina de DLL/EXE en %TEMP%/%APPDATA% y ejecución inmediata.
- Creación/edición de Scheduled Tasks y/o scripts .vbs asociados a carga de DLL.
- Indicadores de inyección (procesos con comportamiento de APC injection / memoria ejecutable anómala / spawn de procesos “living-off-the-land” sin motivo).
- Respuesta recomendada:
- Kill process del proceso origen y descendientes sospechosos.
- Block by hash de binarios detectados (loader y módulos).
- Registrar árbol de procesos y conexiones de red para hunting interno.
Sandbox:
- Ejecutar en Sandbox antes de abrir/instalar:
- Adjuntos descargados desde correo, archivos .iso/.img/.zip, .lnk, .hta, instaladores .msi/.exe de procedencia dudosa.
- Señales a observar en Sandbox:
- Escrituras en %TEMP%/%APPDATA%, creación de scripts .vbs, intento de crear tarea programada, y conexiones salientes inmediatas a C2.
Medidas posteriores al incidente:
- Rotación de credenciales (AD, correo, VPN, RDP, paneles de hosting, cuentas administrativas locales).
- Revisar y remover persistencias:
- Scheduled Tasks, claves Run/RunOnce, servicios nuevos, accesos directos alterados.
- Validar si hubo post-explotación:
- Herramientas tipo beacons, dumping de credenciales (LSASS), enumeración de red y movimiento lateral.
- Restaurar desde backups offline si hubo payload destructivo (ransomware) o si no hay certeza de limpieza completa.

Notas opcionales:
- Reportes públicos útiles (análisis y contexto):
- Proofpoint: análisis del loader y su evolución (2022–2024).
- Kroll: vínculo observado con operaciones de ransomware (Quantum Locker).
- MITRE ATT&CK (Software S1039 Bumblebee) y técnica de persistencia por Scheduled Task (T1053.005).
- Cisco Umbrella: detalles de cadena de infección (ISO/IMG) y persistencia con VBS + tarea programada.]]> <![CDATA[WinZip Driver Updater – PUP – 2013]]> https://forum.getoverx.com/showthread.php?tid=52 Sat, 29 Nov 2025 15:59:05 +0000 mrwebfeeder]]> https://forum.getoverx.com/showthread.php?tid=52 Nombre:
WinZip Driver Updater (WinZip / Corel)

Categoría:
PUP (Potentially Unwanted Program) / Driver Updater

Fecha de descubrimiento:
c. 2013 (aprox.; el producto existe desde “hace más de una década”)

Comportamiento (lo que hace y archivos que infecta):
- WinZip Driver Updater es un software comercial de “actualización de drivers” que realiza escaneos del sistema y muestra resultados, pero con frecuencia genera notificaciones y avisos persistentes para impulsar la compra/activación (“urgencia” por supuestos problemas o drivers desactualizados).
- Aunque no es necesariamente un “malware clásico” (ransomware/stealer), muchas soluciones de seguridad lo clasifican como PUP por su comportamiento intrusivo, marketing agresivo y por instalar componentes adicionales (notificadores, bandeja, tareas).
- Suele instalarse como:
- Ejecutables principales y auxiliares (por ejemplo: DriverUpdater.exe, DUNotifier.exe, tray.exe, etc.).
- Datos/configuración en C:\ProgramData\WinZip\WinZip Driver Updater\ (incluyendo respaldos y archivos de configuración).
- Puede comunicarse a Internet para:
- Consultar actualizaciones/estado/licenciamiento.
- Telemetría/estadísticas (según la variante/campaña/paquete de instalación).

Persistencia:
- Frecuentemente configura inicio automático (autostart) y/o un ajuste de “Run at startup”.
- Puede crear Tareas Programadas para ejecutarse en logon y en modo “schedule/update”, por ejemplo:
- Start WinZip Driver Updater for {computername}@{username}(logon)
- Start WinZip Driver Updater Schedule
- Start WinZip Driver Updater Update
- Puede dejar accesos directos (por ejemplo en el escritorio) y ejecutables auxiliares para notificaciones y bandeja del sistema.

Hash real de referencia (SHA-256):

Code:
818d393b502a3fef64b2bfe37ff39d1319f359398eff0ed96d7c0f3a1171755c

Mitigación con GetOverX Shield v3.0.2.0:

Antivirus:
- Ejecutar Full Scan y eliminar/cuarenar los binarios asociados (DriverUpdater.exe, DUNotifier.exe, tray.exe, etc.) y sus carpetas de datos en ProgramData.
- Recomendación práctica: tras limpieza, ejecutar un segundo escaneo focalizado en:
- C:\Program Files\WinZip Driver Updater\
- C:\ProgramData\WinZip\
- %APPDATA% y %LOCALAPPDATA% (si existieran restos de configuración).
Firewall:
- Bloquear conexiones salientes de DriverUpdater.exe y componentes asociados si el objetivo es detener pop-ups/telemetría.
- Si el instalador provino de una fuente no confiable (cracks/bundlers), aplicar bloqueo temporal de salida y análisis completo, ya que un “driver updater” trojanizado puede actuar como dropper.
HIPS/EDR:
- Vigilar y alertar cuando un instalador o proceso cree persistencia típica de PUP:
- Creación/modificación de Scheduled Tasks con nombres “Start WinZip Driver Updater …”
- Registro en Startup/Run para ejecución al iniciar sesión
- Creación repetitiva de notificaciones y procesos residentes (bandeja/notifier)
- Respuesta recomendada:
- Kill process de módulos residentes (notifier/tray) si generan spam de ventanas.
- Block by hash del ejecutable/instalador identificado (y su updater), si se desea evitar reinstalación.
Sandbox:
- Antes de instalar “optimizadores/driver updaters”, ejecutar el instalador en Sandbox para verificar:
- Si crea tareas programadas, autoarranque y módulos de notificación.
- Si intenta forzar compra con mensajes de urgencia o redirecciones.
- Si el instalador procede de un sitio no oficial, la Sandbox ayuda a descartar comportamiento de dropper real.
Medidas posteriores al incidente:
- Revisar y eliminar persistencia:
- Tareas programadas relacionadas, entradas de inicio y carpetas residuales.
- Confirmar que no haya software adicional instalado junto con el PUP (bundling).
- Si se detectó origen dudoso (descarga desde anuncios/“drivers gratis”/cracks), cambiar contraseñas solo si hubo evidencia de malware adicional; en caso contrario, basta con saneamiento y endurecimiento (permitir instalación solo desde fuentes aprobadas).

Notas opcionales:
- Este tipo de utilidades de “driver updater” es frecuentemente desaconsejado por su impacto y riesgo operacional (drivers incorrectos, estabilidad) y por prácticas intrusivas.

- Hash aportado (opcional, por si deseas mantenerlo como referencia adicional):

Code:
49f9a840d3b03c4a4adfaefe862cd05fab31b4ce6548a51939d2fb967dc4d393

]]> Nombre:
WinZip Driver Updater (WinZip / Corel)

Categoría:
PUP (Potentially Unwanted Program) / Driver Updater

Fecha de descubrimiento:
c. 2013 (aprox.; el producto existe desde “hace más de una década”)

Comportamiento (lo que hace y archivos que infecta):
- WinZip Driver Updater es un software comercial de “actualización de drivers” que realiza escaneos del sistema y muestra resultados, pero con frecuencia genera notificaciones y avisos persistentes para impulsar la compra/activación (“urgencia” por supuestos problemas o drivers desactualizados).
- Aunque no es necesariamente un “malware clásico” (ransomware/stealer), muchas soluciones de seguridad lo clasifican como PUP por su comportamiento intrusivo, marketing agresivo y por instalar componentes adicionales (notificadores, bandeja, tareas).
- Suele instalarse como:
- Ejecutables principales y auxiliares (por ejemplo: DriverUpdater.exe, DUNotifier.exe, tray.exe, etc.).
- Datos/configuración en C:\ProgramData\WinZip\WinZip Driver Updater\ (incluyendo respaldos y archivos de configuración).
- Puede comunicarse a Internet para:
- Consultar actualizaciones/estado/licenciamiento.
- Telemetría/estadísticas (según la variante/campaña/paquete de instalación).

Persistencia:
- Frecuentemente configura inicio automático (autostart) y/o un ajuste de “Run at startup”.
- Puede crear Tareas Programadas para ejecutarse en logon y en modo “schedule/update”, por ejemplo:
- Start WinZip Driver Updater for {computername}@{username}(logon)
- Start WinZip Driver Updater Schedule
- Start WinZip Driver Updater Update
- Puede dejar accesos directos (por ejemplo en el escritorio) y ejecutables auxiliares para notificaciones y bandeja del sistema.

Hash real de referencia (SHA-256):

Code:
818d393b502a3fef64b2bfe37ff39d1319f359398eff0ed96d7c0f3a1171755c

Mitigación con GetOverX Shield v3.0.2.0:

Antivirus:
- Ejecutar Full Scan y eliminar/cuarenar los binarios asociados (DriverUpdater.exe, DUNotifier.exe, tray.exe, etc.) y sus carpetas de datos en ProgramData.
- Recomendación práctica: tras limpieza, ejecutar un segundo escaneo focalizado en:
- C:\Program Files\WinZip Driver Updater\
- C:\ProgramData\WinZip\
- %APPDATA% y %LOCALAPPDATA% (si existieran restos de configuración).
Firewall:
- Bloquear conexiones salientes de DriverUpdater.exe y componentes asociados si el objetivo es detener pop-ups/telemetría.
- Si el instalador provino de una fuente no confiable (cracks/bundlers), aplicar bloqueo temporal de salida y análisis completo, ya que un “driver updater” trojanizado puede actuar como dropper.
HIPS/EDR:
- Vigilar y alertar cuando un instalador o proceso cree persistencia típica de PUP:
- Creación/modificación de Scheduled Tasks con nombres “Start WinZip Driver Updater …”
- Registro en Startup/Run para ejecución al iniciar sesión
- Creación repetitiva de notificaciones y procesos residentes (bandeja/notifier)
- Respuesta recomendada:
- Kill process de módulos residentes (notifier/tray) si generan spam de ventanas.
- Block by hash del ejecutable/instalador identificado (y su updater), si se desea evitar reinstalación.
Sandbox:
- Antes de instalar “optimizadores/driver updaters”, ejecutar el instalador en Sandbox para verificar:
- Si crea tareas programadas, autoarranque y módulos de notificación.
- Si intenta forzar compra con mensajes de urgencia o redirecciones.
- Si el instalador procede de un sitio no oficial, la Sandbox ayuda a descartar comportamiento de dropper real.
Medidas posteriores al incidente:
- Revisar y eliminar persistencia:
- Tareas programadas relacionadas, entradas de inicio y carpetas residuales.
- Confirmar que no haya software adicional instalado junto con el PUP (bundling).
- Si se detectó origen dudoso (descarga desde anuncios/“drivers gratis”/cracks), cambiar contraseñas solo si hubo evidencia de malware adicional; en caso contrario, basta con saneamiento y endurecimiento (permitir instalación solo desde fuentes aprobadas).

Code:
49f9a840d3b03c4a4adfaefe862cd05fab31b4ce6548a51939d2fb967dc4d393

]]> <![CDATA[PUA/PUP – DriverPack Bundleware]]> https://forum.getoverx.com/showthread.php?tid=36 Sat, 29 Nov 2025 15:42:54 +0000 mrwebfeeder]]> https://forum.getoverx.com/showthread.php?tid=36 DriverPack Bundle – PUP – 2018

Nombre:
DriverPack Bundle (también conocido como “DriverPack Solution” y “DriverPack Notifier” en varias instalaciones)

Categoría:
PUP (Potentially Unwanted Program) / Bundler / Driver Updater

Fecha de descubrimiento:
2018 (documentación pública ampliamente referenciada como PUP a partir de 2018; existen variantes y campañas en años posteriores)

Comportamiento (lo que hace y archivos que infecta):
- DriverPack Bundle se distribuye como “actualizador/instalador de drivers” pero con frecuencia opera como bundle (instalador que incluye software adicional).
- Comportamientos típicos asociados a su clasificación como PUP:
- Instalación de componentes extra (notificadores, utilidades auxiliares, ofertas de terceros) junto con el módulo principal.
- Cambios en el navegador (página de inicio, motor de búsqueda, nuevas extensiones o accesos directos alterados), normalmente como efecto de bundling o “ofertas” aceptadas por el usuario durante el asistente.
- Notificaciones persistentes que insisten en “drivers faltantes/obsoletos” y recomendaciones para ejecutar acciones (en algunas campañas se percibe urgencia/marketing agresivo).
- Suele dejar artefactos en rutas como:
- C:\Program Files (x86)\DriverPack Notifier\ (en muchas instalaciones)
- Herramientas auxiliares y scripts tipo .hta (por ejemplo, “run.hta” / “notifier.hta”) usados para ejecutar o mostrar notificaciones/acciones.
- En algunos reportes de usuarios, Windows Defender lo etiqueta como PUA (Potentially Unwanted Application) relacionado a “DriverPack”.

Persistencia:
- Suele definir autoarranque para ejecutarse al iniciar Windows (entrada de inicio para todos los usuarios).
- Con frecuencia crea una o más Tareas Programadas para:
- Lanzarse en logon.
- Ejecutarse en horarios (schedule) o para actualizaciones.
- Puede mantener procesos residentes (notifier/tray) para mostrar ventanas emergentes y “recordatorios”.

Hash real de referencia (SHA-256):

Code:
0fcd3cd3f32ee1af33e4d51c984faa0d69359bfabd80a029c12ced55ab0e9d8a

Mitigación con GetOverX Shield v3.0.2.0:

Antivirus:
- Ejecutar Full Scan y eliminar/cuarenar:
- El instalador original (si aún existe en Downloads/Temp).
- Componentes instalados (DriverPack Notifier y binarios auxiliares).
- Luego ejecutar un scan focalizado en:
- C:\Program Files (x86)\DriverPack Notifier\
- C:\ProgramData\ (carpetas asociadas al bundle)
- %TEMP%, %APPDATA%, %LOCALAPPDATA%
Firewall:
- Bloquear conexiones salientes no justificadas desde binarios asociados al bundle (notifier/updater), especialmente si se observan:
- Conexiones recurrentes a dominios/IPs no autorizadas.
- Tráfico de telemetría/ads o descarga de componentes.
- Si el endpoint es corporativo, aplicar política de egress restrictivo (permitir solo lo necesario) reduce el impacto de bundlers.
HIPS/EDR:
- Monitorear y alertar ante:
- Creación de Scheduled Tasks relacionadas a “DriverPack Notifier/Update/Schedule”.
- Registro de autoarranque (Run/Startup) por componentes nuevos.
- Ejecución de mshta.exe y scripts .hta desde “Program Files (x86)\DriverPack Notifier\bin\Tools\” u rutas similares.
- Cambios en configuración del navegador (homepage/search), creación de extensiones sospechosas, y modificación de accesos directos del navegador.
- Respuesta recomendada:
- Kill process de notifier/tray si mantiene pop-ups.
- Block by hash del instalador y binarios detectados para evitar reinstalación.
- Registrar el evento (árbol de procesos + persistencia creada) para auditoría.
Sandbox:
- Ejecutar en Sandbox cualquier “driver updater” descargado de fuentes no aprobadas.
- Señales a observar:
- Intentos de crear tareas programadas/autoarranque.
- Descarga e instalación de paquetes adicionales.
- Cambios en el navegador o instalación de extensiones.
Medidas posteriores al incidente:
- Desinstalar el programa desde “Apps & Features / Programas y características” si existe entrada.
- Revisar y eliminar persistencia manualmente (si quedaran rastros):
- Tareas programadas asociadas.
- Entradas de inicio (Startup/Run).
- Restablecer navegador (homepage/search), remover extensiones no deseadas y limpiar accesos directos alterados.
- Revisar aplicaciones instaladas el mismo día/hora (bundling) y eliminar cualquier componente no aprobado.

Notas opcionales:
- Referencias públicas sin enlaces (para consulta interna si se requiere):
- “PUP.Optional.DriverPack” (Malwarebytes Labs / ThreatDown) – descripción de bundling y clasificación como PUP.
- “DriverPack Notifier” (Should I Remove It?) – evidencia de autoarranque y tareas programadas.
- “PUA:Win32/DriverPack” (Microsoft Q&A / reportes de usuarios) – etiqueta PUA en Windows Defender.
- “PUA.Win32.DriverPack.*” (Trend Micro Threat Encyclopedia) – ficha técnica y fecha de recepción de muestras (algunas familias/variantes).]]> DriverPack Bundle – PUP – 2018

Code:
0fcd3cd3f32ee1af33e4d51c984faa0d69359bfabd80a029c12ced55ab0e9d8a

Mitigación con GetOverX Shield v3.0.2.0:

Antivirus:
- Ejecutar Full Scan y eliminar/cuarenar:
- El instalador original (si aún existe en Downloads/Temp).
- Componentes instalados (DriverPack Notifier y binarios auxiliares).
- Luego ejecutar un scan focalizado en:
- C:\Program Files (x86)\DriverPack Notifier\
- C:\ProgramData\ (carpetas asociadas al bundle)
- %TEMP%, %APPDATA%, %LOCALAPPDATA%
Firewall:
- Bloquear conexiones salientes no justificadas desde binarios asociados al bundle (notifier/updater), especialmente si se observan:
- Conexiones recurrentes a dominios/IPs no autorizadas.
- Tráfico de telemetría/ads o descarga de componentes.
- Si el endpoint es corporativo, aplicar política de egress restrictivo (permitir solo lo necesario) reduce el impacto de bundlers.
HIPS/EDR:
- Monitorear y alertar ante:
- Creación de Scheduled Tasks relacionadas a “DriverPack Notifier/Update/Schedule”.
- Registro de autoarranque (Run/Startup) por componentes nuevos.
- Ejecución de mshta.exe y scripts .hta desde “Program Files (x86)\DriverPack Notifier\bin\Tools\” u rutas similares.
- Cambios en configuración del navegador (homepage/search), creación de extensiones sospechosas, y modificación de accesos directos del navegador.
- Respuesta recomendada:
- Kill process de notifier/tray si mantiene pop-ups.
- Block by hash del instalador y binarios detectados para evitar reinstalación.
- Registrar el evento (árbol de procesos + persistencia creada) para auditoría.
Sandbox:
- Ejecutar en Sandbox cualquier “driver updater” descargado de fuentes no aprobadas.
- Señales a observar:
- Intentos de crear tareas programadas/autoarranque.
- Descarga e instalación de paquetes adicionales.
- Cambios en el navegador o instalación de extensiones.
Medidas posteriores al incidente:
- Desinstalar el programa desde “Apps & Features / Programas y características” si existe entrada.
- Revisar y eliminar persistencia manualmente (si quedaran rastros):
- Tareas programadas asociadas.
- Entradas de inicio (Startup/Run).
- Restablecer navegador (homepage/search), remover extensiones no deseadas y limpiar accesos directos alterados.
- Revisar aplicaciones instaladas el mismo día/hora (bundling) y eliminar cualquier componente no aprobado.