前两期我们了解了“木马行为防御行为编辑器”的基本作用以及一些病毒最基本的防范方法，今天我们来学一下目前非常流行的盗号木马病毒的防范方法。说到防范，首先，要了解一下盗号木马病毒的一些基本特征：释放DLL文件，注入Explorer.exe或其他进程，设置全局挂钩，设置ShellExecuteHooks、Appinit_Dlls等键值以实现开机启动的目的。那么，针对这些常见的病毒破坏行为，我们应该如何建立“防御行为规则”呢？
　　
　　病毒行为：一个盗号木马病毒会释放DLL文件，并修改注册表中的ShellExecuteHooks键值（病毒启动的一种方法）。
　　拦截定制：
　　第一步：运行“木马行为规则编辑器”，单击左下方的“添加”，建立新规则。病毒记录名称设定为“盗号木马A”（这个名称可以自己指定），敏感级别默认为“中”，你可以填写自己的名字、网名等；附加信息相当于注释，可以自己任意填写。
　　第二步：单击病毒特征后面的“指定”，在弹出的对话框中选择“释放WIN32_DLL文件”，单击确定。单击下方的“添加注册表”，在“监控的键”中写入“[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]”，选中“包含子键”和“目标是键”单击“确定”。
　　
　　小提示
　　为了提高防范病毒的准确性，我们可以将病毒的动作“分解”开来加规则。病毒注入explorer.exe的防范方法在前两期已经介绍过了。下面我们主要看一下注册表方面的防范方法。
　　
　　病毒行为：该盗号木马病毒会释放一个DLL文件，并将该DLL文件设置为自动启动，例如：Appinit_Dlls等键值。修改Appinit_Dlls键值的意思就是将该键值写入病毒释放的DLL文件，重启电脑以后，所有的进程中都会被挂入病毒释放的这个DLL文件。
　　行为拦截：
　　操作方法和上面的基本相同，单击左下方的“添加”，建立新规则，填写其他基本信息。单击病毒特征后面的“指定”，在弹出的对话框中选择“弱自启动”（通过别的进程实现启动，所以选择弱；如果是自己注册为启动项，应该选择“强”）和“释放WIN32_DLL文件”，单击“确定”。这条规则的含义就是，当有病毒释放一个DLL文件，让这个DLL文件通过其他进程启动时进行报警。
　　
　　小提示
　　这条规则的含义就是当有病毒释放DLL文件后，该病毒在修改注册表键值[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]时进行报警。
　　
　　这样，两条比较完整的规则就诞生了。单击左下方的“导出”按钮，可以将编辑的规则导出为XML格式文件，上传到论坛分享，或者共享给你的QQ好友等。