Hello,

Auf keinem infizierten Rechner wird ein SMTP-Server installiert.
Bist Du Dir da so sicher? Die installieren natürlich keinen "richtigen" SMTP-Server,

Warum schreibst Du SMTP-Server, wenn Du weißt, dass es keine SMTP-Server sind?

Weil es ein Dinestprogramm ist, also ein Server. Dieses kann aber nur Mail versenden, aber nicht empfangen. Wozu sollte es auch empfangen? Es ist also ein automatisierter SMTP-Client. Und hier setzt die Philosohie doch ein. Dann ist es also ein "halber Server".

Falsch, wie soll die Spamzentrale wissen, wo gerade jemand sein trojanisches Mailrelais per Modem mit dem Internet verbindet? Der Trojaner muss also erst einmal eine Verbindung zur Zentrale herstellen. Dann kann er aber auch gleich asynchron arbeiten, wie unten beschrieben.

Er wird aber mit den email-Listen und den email-Texten von außen gefüttert. Immer wieder.

Es könnte dem Eigentümer des infizierten PCs sonst auffallen, wenn seine Kiste drei Stunden mit dem Empfang von (wegen SMTP unkomprimierten) 500.000 Mailadressen beschäftigt ist.

Soviele werden selten be einer Kiste in Auftrag gegeben. Es sind meistens nur ca. 20 bis 30; und die sind kurz und ganz selten HTML-Mails. Der meiste Spam ist textbasiert, dafür oft mit einem schönen[tm] PIF oder SCR oder EXE ... hinten dran.

Harzliche Grüße aus http://www.annerschbarrich.de

Tom