你中的应该是NCx99
他可以把cmd.exe程序绑定到99端口
而且一般是通过Real服务器发布的,包括有.rm、.ram等
他可以通过telnet 目标主机的99端口，登陆到目标主机上进行攻击行为。
　

下面引用由我是中国人在 2005/04/26 04:20pm 发表的内容：
请问漫天樱舞 怎样预防NCx99？？ 能否告诉我，新手向您请教了。

首先，要知道ncx99是利用unicode漏洞的
所以你可以在C:\winnt\system32\logfiles\w3svc1目录里看那里保留的以往的Web访问记录，其文件名的形式通常是ex040601.log，其中040601表示Web访问的日期。如果有人利用UniCode漏洞访问过本机，则可在日志中看到记录：

如果是有人曾经执行过copy、del、echo、bat等具有入侵行为的命令时，在日志中会有记录例如：
12:25:10 192.168.1.6 GET/scripts/..\./winnt/system32/ cmd.exe 401
这个IP就是入侵的IP

对于这类攻击，事后补救往往不行了。最好的办法就是事先预防，预防的办法可以这样
限制网络用户访问和调用cmd命令的权限。
如果Scripts、Msadc等目录不必使用的话，可删除该文件夹或重命名。
如果你安装Windows 2000操作系统，不使用默认的Winnt文件夹名。
下载微软提供的补丁程序，下载地址如下：
IIS 5.0补丁地址：
http://www.microsoft.com/windows2000/downloads/critical/q269862/
default.asp
：）

你不能不上了吗？