Symantec rapporte avoir découvert un nouveau type de ver qui cible les serveurs d'applications Apache Tomcat. Un malware atypique car il ne s'en prend pas aux visiteurs du site qu'il infecte, du moins pour le moment.

Java.Tomdep est une servlet qui ne crée pas de page web, mais se comporte comme un bot IRC. En tant que tel, il est prêt à exécuter des commandes que l'administrateur du botnet lui enverrait, et son 'travail' serait alors de provoquer des déni de service au moyen de flooding UDP.

En plus de cela, il chercherait à se répandre sur d'autres serveurs Tomcat, tout simplement en essayant des paires nom d'utilisateur/mot de passe faibles.

Car aussi incroyable que cela puisse paraître, des administrateurs systèmes utiliseraient encore couramment des paires telles que admin/admin, admin/password, ou tomcat/tomcat.

Quand un login, fonctionne le ver s'uploade alors sur le serveur attaqué.