最近のウイルスは、感染者のアドレス帳から任意にFromとToを設定して
送信するので、送信者が感染者とは限りません。

感染者がReply-Toを設定していると特定ができますが、
多くはそうしていないケースが多いです。

メールはメールサーバーを経由するときにReceivedヘッダを残します。
通常、一番最後のReceived:が最初のメールサーバーになるはずです。
この情報から、感染者が加入しているプロバイダがわかります。

また、それらのメールの送信者が、同じようにその感染者のアドレス帳に
入っているものなので、交友関係でも予測できるかもしれません。

何度も同じ人から送られてくると教えてあげたくなりますよね。