【异界方块】近期伪装成mod的恶意病毒（急需注意！）

  重大病毒排查  

一、题外话
首先前排感谢sim4中文圈里最无私的几个菩萨之一：雷亚比 “雷大”。

无论是全网最全的免费WW动画、材质、服装（色色向）整合包，还是sim4圈子里的第一手外网最新消息。

你几乎都可以在雷大那得到最新鲜的中文版译件。

而本次瑞尔可以得知该消息，也是因为在雷大的企鹅群里，并且第一时间检查了自己的电脑。

---

二、本次资讯

请排查自己的电脑里是否有以下几款mod：

"Simray Body Modifications Enhanced" by user_96gl6723xjhsfv9z on CurseForge*

"Simray Body Modifications Enhanced" by SamPeet on NexusMods†

"Feet Remaster Mod" by SIVERSPHINXX on NexusMods†

CF网站和N网的上述三款mod全部包含病毒！

---

三、咨询原文及翻译件

翻译件：

NexusMods 上 SamPeet 制作的“Simray 身体修改增强版”（Simray Body Modifications Enhanced）
NexusMods 上 SIVERSPHINXX 制作的“脚补丁模组”（Feet Remaster Mod）
CurseForge 上的上传页面已被删除。
我们不推荐从 NexusMods 下载模组，因为他们的 Vortex 管理器会错误地安装《模拟人生4》的模组。
这些上传本质上似乎是恶意的。请勿下载这些文件。请勿安装这些模组。请勿让这些文件留在您的计算机上。如果您已经下载了这些模组，请立即删除它们，运行病毒扫描，并更改您的密码。
我们注意到了新一轮的恶意软件上传，这次是在新名称下重新上传其他创作者的内容。虽然“脚补丁模组”是从 magic bot 那里偷来的，但另一个模组则是从一个被封禁的创作者那里偷来的，无论如何在这里都不会受欢迎。然而，SIVERSPHINXX 似乎是一位为其他游戏制作模组的知名创作者，因此这很可能是账户被盗用的情况。
所有受影响的模组在其 ts4script 文件中都包含一个名为 ts4_poc.py 的文件。如果您想确定自己是否受到影响，可以使用任何允许您打开 zip 文件的软件来打开 ts4script 查看内部，但绝对不要运行该 py 文件。
这里使用的攻击方法应该会被 ModGuard 防护。如果您已经安装了它，那么您可能没事。如果您没有安装，您应该考虑下载它。如果您没有安装 ModGuard 并且运行了《模拟人生4》同时安装了上述提到的任何模组，您可能会遇到大麻烦。我们尚不清楚该恶意软件的全部危害程度。在最坏的情况下，您可能需要擦除您的操作系统，并使用另一台未受感染的设备更改您的密码。
如果有更多信息，我们将随时更新。请保持警惕，并始终牢记您的总体安全：
• 对新创作者保持谨慎，尤其是当突然出现的模组或程序承诺非常强大的功能，或者看起来类似于他人已完成的工作时。
• 在安装之前检查 zip 文件内部的文件，看看是否有未知用途的新脚本。
• 确保任何新模组或更新都附有补丁说明或有意义的说明。
• 检查创作者是否在其社交媒体上提到了新上传的内容。

---

四、解决方法：

病毒mod是一个伪装成《模拟人生4》概念验证（PoC）的恶意脚本。

它的真实目的是通过混淆手段，在后台偷偷执行一段恶意的恶意命令，下载并运行来自外部服务器的后门。

1. 只要进了游戏，就已经中招了很多玩家以为“我不去点它、不在游戏里用它就没事”，这是错的！这个木马的触发机制非常阴险：只要你把它放进了 Mods 文件夹并启动游戏，在游戏黑屏加载、读取MOD的瞬间，它就已经在后台偷偷运行了。 无论你是在捏人、盖房子还是正常游玩，它都在运行。

2. 它在后台干了什么？完全隐形：它运行时电脑不会卡顿、游戏不会崩溃，桌面上看不到任何弹窗。

暗中联网：它会利用你电脑自带的功能，偷偷连接黑客的服务器。

下载病毒/盗号：黑客可以通过这个后门，在后台远程往你电脑里下病毒，核心目的是偷你的浏览器密码、游戏账号、社交账号，甚至控制你的电脑。

已经带它玩过游戏的玩家，请立刻这样自救：

第一步：删文件立刻关闭游戏，去 Mods 文件夹里找到这个恶意 MOD，将它彻底删除并清空回收站。

第二步：断进程按下键盘上的 Ctrl + Shift + Esc 打开任务管理器。仔细检查后台，如果看到有 cmd.exe 或 curl.exe 正在运行，直接右键选择结束任务。

第三步：全盘杀毒立刻打开 Windows Defender（系统自带杀毒）、火绒 或其他专业安全软件，进行一次全盘深度扫描，把木马偷偷下载到你电脑里的病毒清理干净。

第四步：改密码在杀完毒、确认电脑安全后，务必修改自己重要的社交、游戏、邮箱以及银行账号的密码，防止账号被洗劫。

---

五、题外话：

我们sim4老农民招谁惹谁了，本来每天都在忙忙碌碌的和各种bug搏斗。

找点资源还得搬来小梯子在各种网站各种搜刮。

到头来还被黑客盯上，伪造点小mod来盗取你的个人信息或者诈骗

这些背后阴人的黑客表柱请原地趋势谢谢，柠檬森林！
感谢发现并广而告之的大家，啾咪～

这种往mod里面藏病毒的真的很难进行防御啊

不久前才中了偽裝成renpy的病毒，沒想到現在連遊戲的mod都不安全了...

往mod里面塞病毒也太缺德了...刚刚紧急自查了一下辛亏没中招

不是正版的黄油，就怕这种青涩mod出问题啊……唉，希望早日出现自由度非常高的纯bl黄油

前陣子rimworld也有類似的惡意mod,
steam的開放自由卻被惡用真的很噁心.=_=

制作病毒的人也太坏了吧，会破坏大家对于mod的信任

商人弗霖打开异界的百宝袋，袋口微光一闪，一枚【绿色方块】轻巧地蹦了出来。

没想到mod也会藏病毒惹，这么做的人真是太阴险了

很多热门游戏都遇到过mod夹带恶意程序的情况了

哇，好阴险的做法，打mod还是要注意辨别

现在真的网络各种形式诈骗防不胜防，连这种玩家自发制作的mod社区也要被侵蚀

感谢提醒惹 感觉很可怕的说~以后下载mod时候要多留点心

我记得这个事情之前就出过一次了，现在只去一些官网之类的下mod了，整合包里还是容易有意无意混进一些东西

这种情况很麻烦，唉，只能说大家还是要多留个心眼

感谢大佬分享，最担心的事还是发生了。
不管什么游戏，下载mod的时候都会担心这种情况的发生，怕有什么后门和恶意程序。现在已经不敢随便打mod了

好恶心的病毒，真的一不小心就会中招，下mod时还得千万小心

OMG居然这么人心险恶，黑客4000+惹

伪装的病毒真的恶意至极啊，防不胜防