Насколько я понимаю, "Медок" вирусы не распространял, а была использована уязвимость в ПО, которая позволила третьим лицам распространять вирус.
Я пока не понял твою версию. Вроде изначально речь шла о том, что Медок рассылал обновление с вирусом. Медок сказал, что обновления такого размера и такой датой у него не было.
Какого рода уязвимость в ПО и как она действовала ?
Злоумышленники неустановленным способом разместили файл, содержащий вирус на сервере обновлений Медок либо модифицировали NS-записи для сервера обновлений, в результате чего запросы на обновление направлялись на сервер злоумышленников, откуда клиентские экземпляры Медка закачивали на локальный компьютер инфицированные файлы, которые принимали за обновление. Вирусные инструкции выполнялись либо непосредственно в процессе "обновления" либо при последующем запуске исполняемых файлов "обновленного" Медка.
Уязвимостью было то, что Медок не использовал цифровую подпись для файлов обновлений, которая гарантировала бы, что файлы действительно от вендора, а не подмененные (давным давно такая же дырка была в некоторых антивирусах, когда под видом обновлений они скачивали и запускали вредноносный код). Также явно должна быть еще уязвимость на сервере обновлений, позволившая выложить туда вредноносные файлы, либо несанкционированный доступ к NS-записям.