np.exe、nq.exe、nr.exe其实是同一个网马。此马不停的变。变了以后,瑞星2010就查不出。
但此马有个特点:运行后在system32目录下创建一个wina*.ime文件(*代表可变字符)。这个程序插入explorer.exe进程(可能还插入其它正常程序进程)。如果能阻止wina*.ime创建,则此马就是个死物。
用tiny可以设置一条带通配符的规则,禁止任何程序在system32目录下创建wina*.ime文件,即可防住此毒。下图是实际运行的防护结果。运行病毒后,检查system32目录下内容,无wina*.ime文件生成,nq.exe进程自动结束。证明防护规则有效。
然而,瑞星2010的“应用程序控制”设置至今不支持通配符,因此无法仿照上面的思路防护。用户系统信息:Opera/9.80 (Windows NT 5.1; U; zh-cn) Presto/2.2.15 Version/10.10