Myslím, že heuristika funguje pouze na "běžné nákazy", ale nezachytí sofistikovaný útok. Dám Vám příklad: pokud do supermarketu vstoupí skupinka cikánů nebo bezdomovců, je třeba zaktivovat všechny zaměstance a členy ochranky-pravděpodobnost krádeže je velmi vysoká, i když jsme v krámu právě tyhle konkrétní osoby ještě neviděli. Když si ale "pan Kohout z poslanecké sněmovny" objedná exotický výlet pro kamarády, klidně mu to několik let prochází a udělá škodu za mnoho miliónů korun... Protože tady takový útok těžko někdo může očekávat.
Nebo jiný příklad. Vyrazíme si s přítelkyní do přírody "zaskotačit" a jí se to tak líbí, že začne slastí "hulákat na lesy". Jak pozná heuristický analyzátor, že jde o činnost vysoce příjemnou a žádoucí a že se nejedná o znásilnění ("zvonku to naozaj vyzerá úplně stejně"). Četl jsem dost rad ženám typu "nechte se znásilnit a moc se nebraňte - je lepší být znásilněná, ale živá, než neznaásilněná, ale mrtvá".
Ostatně není to tad dávno, kdy Nimda dokonale oblafla všechny antiviry, protože do počítačů vtrhla "dírou" Mikrosoftu...
Kdepak, ty cikány v supermarketu chytnete snadno i s důkazy, ale občas se najde někdo, kdo vám "prodá Karlštejn" a nikdo nepojme podezření.
Ostatně i kdyby se to i nakrásně někomu podařilo do hodiny zanalyzovat (o čemž pochybuji - než "rozlousknete" podezdřelý kód a pochopíte, co má vlastně dělat - to není na deset minut ani pro "profíka") a dát do databáze a vy to za 3 hodimy zaktualizujete, tak má vir 4 hodiny času na "zaplevelení". A za tu dobu se může taky stát, že činností toho vira naprosto zkolabuje internet a vy se k těm aktuálním databázím jen tak nedostanete...