1. Kannst du logischerweise nur die FTP Server/E-Mail Accounts von Stealern sniffen, die auch tatsächlich Daten senden. Einen Trojaner zu sniffen bringt dir nämlich gar nichts.
2. Wenn das Programm tatsächlich zum FTP Server verbindet (was voraussetzt, dass es nicht an der Ausführung gehindert wurde), dann logt Cain das und schreibt dir Server, User und IP auf. Mit Wireshark würdest du da nichts anderes erreichen..
Das setzt aber wie bereits gesagt wurde voraus, dass
3. Der Stealer ausgeführt wird. Viele Stealer/Crypter verfügen über Funktionen, die die Ausführung auf einer virtuellen Maschine verhindern sollen. Keine Ausführung = keine Verbindung = keine Daten.
ggf. bestände dann noch die Möglichkeit die Daten direkt aus der exe auszulesen, sofern diese nicht sonderlich verschlüsselt wurde.
Je nach "AntiVM"-Funktion ist es auch möglich, diese zu bypassen. Zum Beispiel kannst du diverse Dienste oder auch die Hardware umbennen.
Wie man Cain benutzt sollte bekannt sein, gab hier aber auch ein Tutorial darüber.. ich werds mal eben suchen.
/edit
http://free-hack.com/video-tutorials...nts_kommt.html