np.exe、nq.exe、nr.exe其实是同一个网马。此马不停的变。变了以后，瑞星2010就查不出。


但此马有个特点：运行后在system32目录下创建一个wina*.ime文件（*代表可变字符）。这个程序插入explorer.exe进程（可能还插入其它正常程序进程）。如果能阻止wina*.ime创建，则此马就是个死物。


用tiny可以设置一条带通配符的规则，禁止任何程序在system32目录下创建wina*.ime文件，即可防住此毒。下图是实际运行的防护结果。运行病毒后，检查system32目录下内容，无wina*.ime文件生成，nq.exe进程自动结束。证明防护规则有效。








然而，瑞星2010的“应用程序控制”设置至今不支持通配符，因此无法仿照上面的思路防护。

用户系统信息：Opera/9.80 (Windows NT 5.1; U; zh-cn) Presto/2.2.15 Version/10.10