特洛伊木馬是一種惡意程式，它們悄悄地在宿主機器上運行，就在用戶毫無察覺的情況下，讓攻擊者獲得了遠程訪問和控制系統的許可權。一般而言，大多數特洛伊木馬都模仿一些正規的遠程控制軟體的功能，如Symantec的PcAnywhere，但特洛伊木馬也有一些明顯的特點，例如它的安裝和操作都是在隱蔽之中完成。攻擊者經常把特洛伊木馬隱藏在一些遊戲或小軟體之中，誘使粗心的用戶在自己的機器上運行。最常見的情況是，上當的用戶要么從不正規的網站下載和運行了帶惡意代碼的軟體，要么不小心點擊了帶惡意代碼的郵件附屬檔案。
大多數特洛伊木馬包括客戶端和伺服器端兩個部分。攻擊者利用一種稱為綁定程式的工具將伺服器部分綁定到某個合法軟體上，誘使用戶運行合法軟體。只要用戶一運行軟體，特洛伊木馬的伺服器部分就在用戶毫無知覺的情況下完成了安裝過程。通常，特洛伊木馬的伺服器部分都是可以定製的，攻擊者可以定製的項目一般包括：伺服器運行的IP連線埠號，程式啟動時機，如何發出調用，如何隱身，是否加密。另外，攻擊者還可以設定登錄伺服器的密碼、確定通信方式。
伺服器向攻擊者通知的方式可能是傳送一個email，宣告自己當前已成功接管的機器；或者可能是聯繫某個隱藏的Internet交流通道，廣播被侵占機器的IP位址；另外，當特洛伊木馬的伺服器部分啟動之後，它還可以直接與攻擊者機器上運行的客戶程式通過預先定義的連線埠進行通信。不管特洛伊木馬的伺服器和客戶程式如何建立聯繫，有一點是不變的，攻擊者總是利用客戶程式向伺服器程式傳送命令，達到操控用戶機器的目的。
特洛伊木馬攻擊者既可以隨心所欲地查看已被入侵的機器，也可以用廣播方式發布命令，指示所有在他控制之下的特洛伊木馬一起行動，或者向更廣泛的範圍傳播，或者做其他危險的事情。實際上，只要用一個預先定義好的關鍵字，就可以讓所有被入侵的機器格式化自己的硬碟，或者向另一台主機發起攻擊。攻擊者經常會用特洛伊木馬侵占大量的機器，然後針對某一要害主機發起分散式拒絕服務攻擊（DenialofService，即DoS），當受害者覺察到網路要被異乎尋常的通信量淹沒，試圖找出攻擊者時，他只能追蹤到大批懵然不知、同樣也是受害者的DSL或線纜數據機用戶，真正的攻擊者早就溜之大吉。
特洛伊木馬造成的危害可能是非常驚人的，由於它具有遠程控制機器以及捕獲螢幕、鍵擊、音頻、視頻的能力，所以其危害程度要遠遠超過普通的病毒和蠕蟲。深入了解特洛伊木馬的運行原理，在此基礎上採取正確的防衛措施，只有這樣才能有效減少特洛伊木馬帶來的危害.