Der Java.Tomdep-Schädling wurde von Symantec als Java-Servlet entlarvt und ist bisher unter anderem in den USA, China, Italien und Schweden aufgetreten. Sobald ein Tomcat-Webserver das Servlet ausführe, vollziehe das System die Anmeldung als Bot in einem IRC-Chatroom, von dem aus der Tomdep-Botmaster die Server übernehmen und ohne Wissen ihrer Besitzer steuern könne. Beobachtet wurde laut Symantec, dass infizierte Maschinen massenweise UDP-Pakete an Clients schickten (UDP Flooding), das System als SOCKS-Proxy missbrauchten, Dateien aus dem Internet luden und gezielt nach weiteren Tomcat-Installationen im Netz suchten, um diese ebenfalls zu infizieren.

Symantec hält es zudem für möglich, dass demnächst großangelegte DDoS-Attacken von den Tomdep-Bots aus gestartet werden. Wer die Web-Seiten besuche, die von den Apache-Tomcat-Servern gehostet werden, habe laut Symantec bisher keine Infektion seines Clients zu befürchten. Die Command-and-Control-Server des Java.Tomdep-Netzes werden in Taiwan und Luxemburg vermutet.