Le malware, qui infecte déjà des serveurs dans une dizaine de pays, peut envoyer et recevoir des fichiers, créer de nouveaux processus, se mettre à jour et effectuer une attaque de type UDP Flood qui utilise le protocole UDP pour submerger un destinataire sous un flot de paquets afin de le saturer, une variante de l'attaque DDoS par déni de service distribué. « Les serveurs de commande et de contrôle ont été localisés à Taiwan et au Luxembourg », écrit Takashi Katsuki. Les utilisateurs finaux qui accèdent à des pages web hébergées sur un serveur Tomcat infecté ne sont pas affectés par le malware.
Java.Tomdep chercherait aussi à s'introduire sur d'autres serveurs Tomcat, en testant des séries de noms d'utilisateurs avec des mots de passe faibles. Selon le chercheur, les administrateurs système devraient utiliser des mots de passe forts pour les machines Tomcat et ne pas ouvrir le port d'administration en accès public. « Les serveurs sont des cibles de choix pour les pirates, car ils tournent en permanence et ont des performances élevées », écrit Takashi Katsuki. Pour l'instant, le malware ne semble pas avoir beaucoup essaimé, mais Symantec a repéré des machines infectées aux États-Unis, au Brésil, en Chine, en Italie, en Suède, au Japon, en Corée du Sud, au Vietnam et en Malaisie.