Pletete se a dle Vašeho příspěvku žijete asi v jiném světě.
Můj příklad s korporacemi byl pouze ilustrativní, abyste věděl, že se to dá použít jako technika k detekci již kompromitovaných strojů. Tím pádem tato technika je aplikovatelná i na jiné skupiny uživatelů jako domácí čí menší firmy.
Nevím proč je obtížné akceptovat analýzy síťového provozu jako jednu z relevatních metod na detekci napadení.
Zkuste si přečíst aspoň začátek tohoto článku:
http://www.root.cz/clanky/botnety-novinky-ze-sveta-linuxu/
Pokud budete hledat na internete studie jak rychle jsou AV firmy schopny přidávat signatury to databáze, tak se dozvíte že u některých vzorků to trvá i měsíc a nekteré nejsou vůbec přidány. Zavísí to samozřejmě vždy na daném kusu malware a výrobce.