Da quello che potrei trovare out su di esso in pochi minuti di googling, Mega-D / Ozdok è un tipico smabot: implementa STMP protocollo internamente e fa gestire i tentativi di lavoro intorno a greylisting .
L'indirizzo email utilizzato nella parte "di" della posta dipende dal modello esatto inviato al bot. Se guardi la fortigate descrizione del bot, vedrai quali opzioni potrebbero essere utilizzate per costruire e alcuni campioni. Non sembra che stia usando nulla dalla macchina del client bot, ma sembra spesso utilizzare l'email del destinatario nel campo from (il che significa che puoi proteggerti da questi spam usando SPF o DKIM ).
I robot invieranno la loro posta tramite un server SMTP ma quello sarà il server SMTP del destinatario: cosa viene fatto riferimento nel record DNS MX del loro dominio di posta (o del record A se non ci sono MX ma c'è un A).
Se vuoi un'analogia con il mondo reale, è come se, invece di inviare posta (normale) a casa tua tramite il sistema postale, lo spammer ingaggi un sacco di estranei per consegnarlo direttamente nella cassetta della posta della tua casa.
Per quanto riguarda se ogni spambot ha un server SMTP installato, il più vicino a una risposta è: no, non c'è un server SMTP installato sul client che accetterà e inoltrerà la posta. Tuttavia, accetta i modelli di spam dai server CC così come gli "elenchi di lavoro" contenenti l'indirizzo email di destinazione e quindi fungono da client SMTP per inviare questi messaggi direttamente al server SMTP del destinatario.