De lo que pude encontrar out acerca de esto en unos minutos de googlear, Mega-D / Ozdok es un smabot bastante típico: implementa el STMP protocol internamente y hace que los procesados funcionen alrededor de greylisting .
La dirección de correo electrónico utilizada en la parte "de" del correo depende de la plantilla exacta que se envió al bot. Si observa la descripción de fortigate del bot, verá qué opciones podría usar para construir y algunas muestras. No parece estar usando nada de la máquina del cliente del bot, pero parece que a menudo usa el correo electrónico del destinatario en el campo desde (lo que significa que puede protegerse contra estos correos no deseados utilizando SPF o DKIM ).
Los bots enviarán su correo a través de un servidor SMTP, pero ese será el servidor SMTP del destinatario: lo que se menciona en el registro DNS MX de su dominio de correo (o el registro A si no hay MX pero hay una A).
Si desea una analogía con el mundo real, es como si, en lugar de enviar correo (regular) a su casa a través del sistema postal, el spammer haya contratado a muchos desconocidos para que lo envíen directamente al buzón de correo de su casa.
En cuanto a si cada spambot tiene un servidor SMTP instalado, más cercano a una respuesta es: no, no hay ningún servidor SMTP instalado en el cliente que acepte y retransmita el correo. Sin embargo, aceptará plantillas de correo no deseado de los servidores CC, así como "listas de trabajos" que contengan la dirección de correo electrónico de destino y luego actuará como un cliente SMTP para enviar estos correos directamente al servidor SMTP del destinatario.