In de open-source webserverapplicatie Apache Tomcat is door beveiliger Symantec een worm aangetroffen. Het stukje malware, dat Symantec 'Java.Tomdep' heeft genoemd, wijkt af van andere servermalware in de zin dat het niet geschreven is in PHP scripttaal, schrijft onderzoeker Takashi Katsuki op het blog van de leverancier.

Zoals de naam al suggereert, gaat het om een Java Servlet, oftewel een webapplicatie. De malware gedraagt zich als een IRC-bot en kan commando’s ontvangen, schrijft Katsuki. Dit gegeven maakt dat de worm gebruikt kan worden om DDoS-aanvallen op te zetten, aangezien een UDP-flood tot de mogelijkheden behoort. Tot nog toe lijkt dit niet gebeurd te zijn.

Aansturing vanuit Azië en Europa

De command-and-control (C&C) servers van de worm zijn getraceerd in Taiwan en Luxemburg, schrijft de onderzoeker. Computers die een door een besmette server geserveerde pagina hebben bezocht, lopen geen infectie op.

Java.Tomdep speurt actief naar andere Tomcat-servers en probeert door het kraken van zwakke gebruikersnamen en wachtwoorden binnen te komen. Symantec adviseert beheerders daarom direct een sterk wachtwoord in te stellen op hun machine en de beheerpoort niet open te laten staan voor publieke toegang. Geïnfecteerde machines zijn aangetroffen in de VS, Brazilië, China, Italië, Zweden, Japan, Zuid-Korea, Vietnam en Maleisië.

Zo besmet Java.Tomdep pc's en wordt het door aanvallers aangestuurd. Afbeelding: Symantec