[viruswerking]Waarom haalt $virus smtp server uit register?

Ik heb met iemand een discussie over de werking van virussen. Dit na aanleiding van het door Wanadoo sluiten van uitgaande poort 25 om virus en spam overlast te beperken.

Nu schijnen er bepaalde virussen te zijn die de smtp server uit het register halen evenals de gebruikte username/e-mail adres. (alleen bij microsoft (f)Outlook (Express))

Nu beweerd hij dat deze info gebruikt word om zichzelf verder te verspreiden in de zin van:

virus (smtp engine/client) -> smtp server uit het register -> ontvangende mail server -> mail client ontvangende partij.

Ik beweer echter het volgende, het virus heeft een ingebouwde SMTP engine (client whatever) en gebruikt deze om de mail direct te bezorgen bij de ontvangende mail server -> mail client ontvangende partij.

Als het virus de werking zou hebben zoals hij zou beweren zou het nut van die poort 25 blokkade van Wanadoo dus zeer weinig uithalen. Ikzelf heb alleen een lading netsky varianten incl headers als voorbeeld liggen, maar deze schijnt het dus op de door mij beschreven manier te doen.

De enige referentie die hij heeft is:

W32.Nodoom.A@mm

7. Retrieves the current user's email address and SMTP server address.

8. Uses its own SMTP engine to send itself to all the email addresses it finds.

Wellicht is er iemand anders die hem kan bijstaan met info en bijbehorende link?
Of is het echt kinklare onzin wat hij mij probeerd wijs te maken?

ps, naast dit voorbeeld schijnen er dus nog veel meer recentere virussen te zijn die deze techniek toepassen.

Kortgezegt: Wat doet het virus met de gevonden SMTP info uit het register?

[ Voor 4% gewijzigd door jules op 18-05-2004 21:15 ]

Anyone?

Moet ik het één en ander wellicht duidelijk neerzetten?

Verwijderd schreef op 18 mei 2004 @ 19:25:
Als je iets over smtp wilt versturen, en je hebt graag dat dit ook ontvangen wordt, zal de smtp communicatie altijd over poort 25 lopn.Wat providers doen is dus poort 25 blokken van binnenuit hun netwerk naar buiten toe. Zo is een pc van een abonnee niet in staat om zelfstandig mail te sturen naar buiten het eigen netwerk.

Er zijn varianten op SMTP die over een andere poort lopen, echter worden deze door (nog lang niet) alle mailservers ondersteund dus heeft het voor een virus (nog) geen nut om via dit protocol mail te versturen.

Bovenstaande wist ik al. Het gaat mij er echter om, wat doet het virus met die SMTP server info. Zie reactie hieronder*.

Verwijderd schreef op 18 mei 2004 @ 20:34:
[...]
Maar het kan ook zo zijn dat ze idd gewoon de settings uitlezen uit het register.
Eerste wat ik zo snel kon vinden: http://www.f-secure.com/v-descs/wallon.shtml

Het enige wat er te lezen is is het volgende:

Then it reads user's SMTP settings from the Registry, locates and opens a WAB (Windows Address Book) file and sends e-mail messages to all found addresses.

Maar wat doet het nu precies met die SMTP info? *

*Gebruiken om die virus mailtjes te versturen? Of verzameld het virus puur en alleen smtp servers om ze vervolgens op de één of andere manier door te sturen?