[riissk]

Пути могут быть различные, но если нет никакой информации о программе портах и т.п. Поставьте TCPview от sysinternals. Определите какие порты слушает программа и при приходе спама - IP с которого было открыто соединение. Второй вариант sniffer на свиче (мирор порт само собой), можно удалённо через arp poisoning но это не очень законно и может вызывать проблемы в сети.