文章总结： 文档披露Everything工具1.4.1.1022版本存在银狐木马活动，官网下载包会触发火绒报毒并连接恶意IP（13.107.246.50）。微步沙箱检测证实该版本存在可疑网络行为，而最新1.4.1.1032版本无此问题。建议用户立即升级至最新版以避免安全风险。 综合评分： 85 文章分类： 恶意软件,漏洞预警,安全工具,威胁情报,安全意识

速查！Everything疑似存在银狐木马

喜欢挖洞吗 喜欢挖洞吗

喜欢挖洞吗

2026年4月8日 17:16 天津

注：转自某位大佬写的

关于 everything 工具 1.4.1.1022 版本存在可疑木马活动的排查情况

经 排 查 发 现 通 过 Everything 官 网 渠 道 下 载 的Everything 工具 1.4.1.1022 历史版本存在银狐木马相关网

络活动，在工具安装至本地时连网使用，火绒安全软件会对其进行报毒提示。

对应官网的下载地址为：

https://www.voidtools.com/Everything-1.4.1.1022.x64-Setup.exe

排查经过如下：

首先发现火绒安全软件拦截可疑外链与木马文件，父进程为 Everything 工具。

之后再查看相关木马残留的临时文件（上图蓝色框）中，发现这几个文件链接也指向 everything.exe 的进程。

拦截记录中的相关链接在微步情报中也都说明为恶意域名，并存在携带银狐木马的不良记录。

之后将本地的 everything 安装包放至微步在线的沙箱中进行排查，发现该 1.4.1.1022 的版本确实存在可疑的网络连结行为，网络活动指向一个美国 ip：13.107.246.50，该 ip 微步情报查看后也与银狐木马存在关联。

在 everything 工具官网：https://www.voidtools.com/zh-cn/downloads/下 载 最 新 版 本 的Everything-1.4.1.1032.x64-Setup.exe 进 行 沙 箱 测 试 对比，发现最新版本不存在网络连接。

之后想在官网“旧版本”处查找 1.4.1.1022 版本的下载链接，发现官网将其隐藏掉了，旧版本中 1.4.1.1026 后面就是 1.4.1.1005 的更早期版本。但是通过直接复制下载链接后在地址后面变更版本号为 1.4.1.1022 还是可以下载，且官方未发布下架公告。至此建议使用 everything 工具时下载最新的版本，不要用 1.4.1.1022 版本。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：喜欢挖洞吗 喜欢挖洞吗 喜欢挖洞吗《速查！Everything疑似存在银狐木马》