Symantec meldet mit Java.Tomdep einen eher harmlosen Wurm, der Apaches Tomcat-Server befällt.
In Symantecs Blog gibt Takashi Katsuki einige Details zum Wurm an, der als Java Servlet funktioniert. Demnach versucht sich der Wurm mit Hilfe einiger Standardpasswörter auf einem Tomcat-Server anzumelden. Hat der Admin ein schwaches Passwort für die Management-Konsole gewählt, etwa “admin:admin”, landet das Servlet auf dem Tomcat-Rechner und verbindet sich als IRC-Bot mit einem IRC-Server.
Der Bot nimmt dann Kommandos und Updates vom Angreifer entgegen, um etwa UDP-Floodings oder DDOS-Attacken zu starten, hält aber auch nach weiteren angreifbaren Tomcat-Servern Ausschau. Die Command-&-Control-Server sollen sich in Taiwan und Luxemburg befinden, bislang seien laut Symantec noch nicht viele Rechner von dem Wurm befallen. Letztlich kein Wunder, wenn offenbar schon ein gut gewähltes Passwort gegen Java.Tomdep hilft.
