图: 瑞星ESM成功拦截截图
图: 安全无毒的文件
图: 压缩文件将要解压的JS脚本
图: 被释放到系统程序启动中
图: 经过混淆加密的JS代码
图: 解密后的JS代码
图: Orcus功能函数
图:找到压缩程序文件位置
图:删除unacev2.dll
图:常规与可疑压缩包对比