Resulta ser que hay dos Google.com
En algunas computadoras "infectadas" cuando uno hace un ping a google.com resuelve 213.219.251.78 ; siendo que la IP del verdadero google.com es 216.239.37.99.
Aparentemente es un spyware que filtra las conexiones al puerto 53 (DNS) remoto y devuelve un paquete pseudo-dns indicando la IP errónea.
Mientras sea google, todo bien. El problema es si llegase a ser una página que pida algún tipo de validación y la estemos enviando a un servidor que no es el verdadero.
En cuanto encuentre el residente en memoria que hace esto, lo aviso. Por ahora parece ser un archivo que se llama google.com y está en los directorios de Windows del path, de manera que cuando uno tipea google.com en el browser se ejecuta y hace el filtro. Obviamente solo afecta sistemas Windows.
Pero puede que no.