Selon Symantec, un ver malveillant baptisé « Java.Tomdep », cible l'application serveur web Open Source Apache Tomcat. Comme l'écrit le chercheur en sécurité de Symantec Takashi Katsuki dans un blog, « à la différence d'autres malwares ciblant les serveurs, celui-ci n'est pas écrit dans le langage de script PHP ». Celui-ci explique que « Java.Tomdep » agit comme un Servlet Java, c'est-à-dire une application Java conçue pour effectuer des tâches pour une application web tournant du côté serveur. « Le servlet malveillant se comporte comme un bot IRC, prêt à recevoir des commandes envoyées par un attaquant distant », écrit encore le chercheur de Symantec. Le malware, qui infecte déjà des serveurs dans une dizaine de pays, peut envoyer et recevoir des fichiers, créer de nouveaux processus, se mettre à jour et effectuer une attaque de type UDP Flood qui utilise le protocole UDP pour submerger un destinataire sous un flot de paquets afin de le saturer, une variante de l'attaque DDoS par déni de service distribué. « Les serveurs de commande et de contrôle ont été localisés à Taiwan et au Luxembourg », écrit Takashi Katsuki. Les utilisateurs finaux qui accèdent à des pages web hébergées sur un serveur Tomcat infecté ne sont pas affectés par le malware.

Java.Tomdep chercherait aussi à s'introduire sur d'autres serveurs Tomcat, en testant des séries de noms d'utilisateurs avec des mots de passe faibles. Selon le chercheur, les administrateurs système devraient utiliser des mots de passe forts pour les machines Tomcat et ne pas ouvrir le port d'administration en accès public. « Les serveurs sont des cibles de choix pour les pirates, car ils tournent en permanence et ont des performances élevées », écrit Takashi Katsuki. Pour l'instant, le malware ne semble pas avoir beaucoup essaimé, mais Symantec a repéré des machines infectées aux États-Unis, au Brésil, en Chine, en Italie, en Suède, au Japon, en Corée du Sud, au Vietnam et en Malaisie.