Phishing

Bonjour,

Voilà un mail assez banal, c'est du phishing :

http://211.119.135.159:81/signin.ebay.com/ws2/eBayISAPI.dll/

Lorsque l'on fait 211.119.135.159:81, le port était ouvert bien
entendu, était parce qu'il est closed maintenant.

Un trace sur 211.119..135.159 donne :

1 pouf pouf
2 193.253.171.192 221ms 55ms 60ms TTL: 0
(bsmon152-net1Lo3.francetelecom.net ok)
3 10.224.52.1 213ms 57ms 56ms TTL: 0 (No rDNS)
4 193.252.160.182 131ms 65ms 62ms TTL: 0
(pos1-2.nrlyo201.Lyon.francetelecom.net ok)
5 193.252.103.78 91ms 71ms 67ms TTL: 0
(pos12-0.ntaub301.Aubervilliers.francetelecom.net ok)
6 193.252.161.53 217ms 69ms 72ms TTL: 0
(pos9-0.ntaub201.Aubervilliers.francetelecom.net ok)
7 193.251.126.54 210ms 72ms 70ms TTL: 0 (No rDNS)
8 193.251.243.218 203ms 71ms 71ms TTL: 0
(P0-0.AUVCR2.Aubervilliers.opentransit.net ok)
9 193.251.243.234 272ms 145ms 145ms TTL: 0
(P6-0.NYKCR2.New-york.opentransit.net ok)
10 193.251.242.250 298ms 178ms 179ms TTL: 0
(P2-0.CHICR1.Chicago.opentransit.net ok)
11 193.251.242.186 358ms 246ms 246ms TTL: 0
(P12-0.SJOCR1.San-jose.opentransit.net ok)
12 193.251.243.141 354ms 251ms 251ms TTL: 0
(So0-0-0.LOACR1.Los-angeles.opentransit.net ok)
13 193.251.243.209 453ms 375ms 377ms TTL: 0
(P1-0.TKYBB2.Tokyo.opentransit.net ok)
14 193.251.128.90 468ms 380ms 378ms TTL: 0
(Ge0-0-0.TKYBB4.Tokyo.opentransit.net ok)
15 210.171.224.94 369ms 369ms 367ms TTL: 0
(AS2516-2.ix.jpix.ad.jp bogus rDNS: host not found [authoritative])
16 203.181.97.89 438ms 354ms 354ms TTL: 0
(otejbb201.kddnet.ad.jp fraudulent rDNS)
17 203.181.96.97 413ms 353ms 354ms TTL: 0
(gsr-ote101.kddnet.ad.jp fraudulent rDNS)
18 203.181.96.121 423ms 366ms 368ms TTL: 0
(tr-ote111.kddnet.ad.jp fraudulent rDNS)
19 No Response * * *
20 211.180.26.122 449ms 410ms 412ms TTL: 0 (No rDNS)
21 211.233.88.154 444ms 411ms 412ms TTL: 0 (No rDNS)
22 211.233.55.186 424ms 412ms 412ms TTL: 0 (No rDNS)
23 211.119.135.159 419ms 411ms 410ms TTL: 41 (No rDNS)

Un Netcraft sur .3drsoft.com donne :

1. jp.3rsoft.com
2. mail.3rsoft.com
3. www.3rsoft.com
4. www.3rsoft.com.cn

et sur www.3rsoft.com
Linux Apache/1.3.9 (Unix) 1-Dec-2004 211.119.135.159 DACOM
Corp.
Linux Apache/1.3.9 (Unix) 8-Dec-2000 211.119.135.159 KRNIC

Une recherche sur KRNIC donne :


[ ISP Organization Information ]
Org Name : DACOM Corporation
Service Name : BORANET
Org Address : DACOM Bldg., 65-228 Hangangro 1ga Yongsan-Gu

[ ISP IP Admin Contact Information ]
Name : IP Administrator
Phone : +82-2-2089-7755
Fax : +82-505-888-0706
E-Mail : ipadm@nic.bora.net

[ ISP IP Tech Contact Information ]
Name : IP Manager
Phone : +82-2-2089-7755
Fax : +82-505-888-0706
E-mail : ipadm@nic.bora.net

[ ISP Network Abuse Contact Information ]
Name : Network Abuse
Phone : +82-2-2089-0101
Fax : +82-2-2089-3489
E-mail : security@bora.net

KOREAN

???? IPv4??? ??? ISP? ??(End-User)?? IPv4??? ??? ? ?????
KRNIC? ??? ??? ?????, ???? ???? ???? ?? ?? ISP?
???? ???.

???, ???? IPv4??? ?? ??? ??? ISP ????? ????? ????.


[ ISP? IPv4?? ???? ?? ]
? ? ? : (?)???
???? : ???
?? ?? : ??? ??? 1? 65-228 DACOM??

[ ISP? IPv4?? ??? ?? ]
? ? : IP?????
???? : +82-2-2089-7755
???? : +82-505-888-0706
???? : ipadm@nic.bora.net

[ ISP? IPv4?? ??? ?? ]
? ? : IP?????
???? : +82-2-2089-7755
???? : +82-505-888-0706
???? : ipadm@nic.bora.net

[ ISP? Network Abuse ??? ?? ]
? ? : Network Abuse ???
???? : +82-2-2089-0101
???? : +82-2-2089-3489
???? : security@bora.net

- KRNIC Whois Service -

Désolé pour la longeur du post mais la question que je me pose est :

www.3rsoft.com avait un trojan sur le port 81 ou s'agit-il d'une
usurpation d'adresse ?