чтоб пользователь видел свой IP в профиле
IP можно подменить (хотя для многих взломщиков это уже что-то за гранью фантастики, конечно).
Впрочем, "не панацея" - не значит "плохая идея". На многих сервисах (включая почтовые) сейчас ведут логи сессий, позволяющие видеть IP и устройства, с которых заходят на аккаунт. Google тот же крик поднимает с рассылкой писем на вспомогательные адреса, если вдруг IP не тот, а Facebook может и вовсе заблокировать учетку. Но с такими предложениями лучше обращаться напрямую к англоязычной администрации.
Ничего фантастического.
Кстати, за ОС на виртуалке и ходить далеко не надо, тут многие их на компах используют. И если вогнать трояна туда, то нужно только подождать, когда её запустят.
А вот если безрезультатно в итоге вся эта возня - то должно быть обидно
