あちこち検索して、SetEnvIfとかいろいろといじっていたけど、処理の順番ではじく前に記録されたり、記録される前にエラーを起こして条件判定ができなかったりとかでうまく行かなかった。よう考えたら最初から拒否したらええだけやん。ということでいろいろ調べて

<LocationMatch "(NULL\.IDA|\\x90\\x02\\xb1|default\.ida|cmd\.exe|root\.exe)">
  Deny from all
</LocationMatch>

　として拒否。
　エラーログには

[Mon Aug 30 00:15:40 2004] [error] [client 219.219.90.23] client denied by server configuration: d:/nan/chara/default.ida

　と記録されていた。