文章总结： 微步在线针对Everything工具1.4.1.1022版本被银狐木马投毒的传言进行辟谣，确认该版本安装包为存在4年以上的白文件，涉及的IP13.107.246.50为CDN节点而非恶意IP。分析指出银狐木马常通过白加黑技术利用正常进程发起远控，建议用户通过微步x社区验证下载网站安全性，并对可疑文件使用云沙箱检测。 综合评分： 85 文章分类： 恶意软件,漏洞预警,威胁情报,安全意识,应急响应

辟谣！Everything没被银狐投毒！

微步在线研究响应中心

2026年4月8日 17:54 北京

2026年4月8日下午，微步情报局观察到有传言称everything工具某历史版本被“银狐”投毒，经过快速分析，我们初步确认：该版本的everything工具被“银狐”投毒传言为假，用户可正常使用。

事件起因与最终结论

今天下午我们发现有一个名为《关于everything工具1.4.1.1022版本存在可疑木马活动的排查情况》的pdf文件正在流传，我们初步分析结论如下：

1. 文件中提及可疑美国IP：13.107.246.50为CDN IP

2. 文件中提及可疑的Everything-1.4.1.1022.x64-Setup.exe文件为白文件，已存在超过4年

3. 基于现有证据无法将工具安装包关联到“银狐”木马

4. 该白文件疑为银狐木马运行所使用的“白加黑”技术中的白文件，用于加载银狐黑DLL文件

pdf文档首屏截图

详细分析

针对该文档内对应的官网下载地址：https://www.voidtools.com/Everything-1.4.1.1022.x64-Setup.exe，下载样本为：

488d285760eb1aeb148e2aec18a2f063571a6630acb26a02b6751c56ca4a95be

该样本至少存在4年以上，于2022年10月10日被用户上传至微步S云沙箱，经过S沙箱分析，该样本为正常文件：

针对该文档中恶意IOC：hc15.ime.hk /bb.kgdhjc.com为银狐远控使用IOC

但银狐木马善于使用进程注入以及白加黑技术来进行免杀，所以发起远控请求的进程不一定是恶意程序，也可能包含白文件进程或者系统进程。

因此社区用户会被误导分享该IP为银狐IOC，但实际为白文件所请求的CDN IP：

该银狐IOC关联的相关样本均为一些仿冒软件安装包程序，诱饵文件中包含：Chrome，搜狗输入法，汽水音乐，Xshell等常见软件。

这是银狐木马常见的仿冒钓鱼网站并投递银狐木马的攻击手法，微步情报局建议用户在尝试下载软件时，在x社区查询下载网站是否为钓鱼网站：

同时在使用软件时，如对文件安全性存疑，推荐使用微步云沙箱进行检查后使用:

http://s.threatbook.com

相关恶意IOC

hc15.ime.hk

bb.kgdhjc.com

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：微步在线研究响应中心 《辟谣！Everything没被银狐投毒！》