Время реагирования зависит от конкретной компании. Оперативностью может похвастаться лаборатория Касперского, поэтому следующее описание процесса относится именно к этой компании:

1) Получение сэмпла от пользователей, партнеров, независимых экспертов и т.д. Для работы с входящей почтой используется специальное программное обеспечение, реализующее систему сбалансированного распределения писем по вирусным аналитикам. Это ПО - основной интерфейс взаимодействия вирусного аналитика с внешним миром.

2) Образец прогоняется по антивирусным базам. Если ничего не обнаружено, то приступают к детальному анализу. Приводят в "соответствующий" вид (распаковывают/дизассемблируют/дешифруют). При необходимости программа запускается на виртуальной машине. В итоге вир. аналитик выносит вердикт: имеется ли в данном объекте деструктивная составляющая и, в случае положительного ответа, классифицируют новый вредоносный объект и назначают ему имя.

3) Для интересных/распространенных вирусов пишутся описания, которые затем публикуются в "Вирусной энциклопедии"

4) Для внесения изменений в базы используется специальная программа - редактор. В базы добавлена сигнатура, либо целый модуль эвристического детектирования. Раз в час базы компилируются и тестируются на целом стенде машин с разными ОС, после чего выкладываются на сервера, откуда собственно и происходит обновление.

Однажды отправлял подозрительный файл, который в последствии оказался руткитом, ответ пришел через 2 дня. Реагирование на распространенные вредоносы, где, например, был использован новый упаковщик или тупо изменена сигнатура займет менее нескольких часов.