Primeiro, não é realmente necessário que o malware instalado se preocupe em roubar suas credenciais de usuário, mas, no caso em questão, as senhas de todos os usuários são armazenadas no registro como um hash. A maioria dos botnets instala os RASkits que permitem aos pastores se conectarem aos serviços da caixa sem as senhas do Windows.
Existem várias ferramentas para crackear os hashes de autenticação do Windows. Um dos mais famosos é o venerável L0phtCrack (e o código-fonte aberto OphCrack ). Hoje em dia, ferramentas elétricas como HashCat são usadas para quebrar uma grande variedade de hashes em grandes volumes.
Veja mais informações e instruções passo-a-passo aqui: link