Koń trojański imituje zaufany i pożądany program, lecz posiada dodatkowe ukryte możliwości, które pozostają nieznane użytkownikowi. Po zainstalowaniu w systemie operacyjnym - kiedy uwagę użytkownika przyciąga coś innego - koń trojański otwiera kolejne furtki w systemie operacyjnym, umożliwiając innym programom instalację lub infiltrację systemu.

Pole działania konia trojańskiego jest bardzo szerokie. Począwszy od uruchomiania w systemie niechcianych aplikacji, poprzez otwarcie systemu na instalację nowych aplikacji spyware, aż po umożliwienie przejęcia kontroli nad komputerem osobie, która znajduje się na drugiej półkuli.

Bardzo często konie trojańskie są instalowane przez samego użytkownika, który zostaje różnymi sposobami przekonany do tego, że akurat ten program rozwiąże jego problem: finansowy, wyszukiwaanie plików w sieci Internet. Trojan może również udawać zabawny gadżet: wygaszasz ekranu, zestaw śmiesznych ikon lub prostą grę.

Konie trojańskie działają zazwyczaj na zasadzie klient-serwer. Na komputerze "ofiary" pracuje aplikacja kliencka, podczas gdy osoba chcąca przejąć kontrole nad tym komputerem dysponuje aplikacją serwerową - która może kontrolować jeden lub wiele komputerów innych użytkowników.

Innym sposobem komunikowania się zainfekowanych komputerów z osobą, która sprawuje nad nimi kontrolę są kanały IRC. IRC to jeden ze starszych sposobów komunikacji pomiędzy użytkownikami sieci Internet, w najprostszej tekstowej formie.
Trojany na komputerze użytkowników (aplikacje klienckie) łączą się z określonymi serwerami IRC, czekając na komendy do wykonania.

Konie trojańskie przejmują kontrole nad komputerami również po to, by tworzyć z nich tzw. grupy komputerów "zombie". Są to maszyny podłączone najczęściej do sieci Internet, których moc obliczeniowa wykorzystywana jest do przeprowadzania ataków na inne, lepiej zabezpieczone systemy komputerowe (np. banki lub instytucje rządowe) lub do masowego rozsyłania spamu - reklamowych wiadomości e-mail.

Pierwszy raz słowo koń trojański zostało użyte w odniesieniu do programów komputerowych w 1980 roku w raporcie napisanym przez J. P Anderson`a znanym też jako "The Anderson Report".

1. Zainfekowane programy
   Jest to najczęstsza metoda infekcji. Konie trojańskie "doklejane" są do innych aplikacji. Np. do wersji instalacyjnej programu WinAmp.
   Otrzymujemy wiadomość z linkiem, pod którym ma być dostępna najnowsza, bardzo ciekawa wersja tego programu. Klikamy, program pobiera się, instaluje, ale w tle koń trojański rozpoczyna swoją działalność.
2. Strony internetowe
   Większość użytkowników sieci Internet korzysta z przeglądarki Internet Explorer. Jest ona znana z kiepskich zabezpieczeń. Dlatego też autorzy wrogich stron www bardzo często wykorzystują luki w zabezpieczeniach tej przeglądarki do instalowania w systemie niechcianych przez użytkownika aplikacji.
3. Poczta elektroniczna.
   Tutaj sytuacja wygląda podobnie jak w przypadku przeglądarki Internet Explorer. Program MS Outlook (jak również wersja Express) jest również bardzo narażony na ataki ze względu na niski poziom zabezpieczeń. Czasami tylko pobranie wiadomości (bez jej otwierania) może doprowadzić do zainfekowania komputera. Jednak nie tylko dzięki temu programowi może dojść do infekcji - również inne programy pocztowe, podczas otwierania załączników poczty mogą narazić system na atak.
4. Komunikatory internetowe
   Ostatnio są bardzo popularną formą komunikacji pomiędzy internautami są komunikatory internetowe. Lawinowy ich rozwój powoduje, iż bardzo często nie są odpowiednio zabezpieczone. Dlatego też są wykorzystywane do rozsyłania i instalowania wrogich aplikacji typu koń trojański.
5. Otwarte porty
   Niezabezpieczony odpowiednią zaporą ogniową system ma otwarte wszystkie porty komunikacyjne (używane w sieciach komputerowych do identyfikacji usług funkcjonujących na komputerach oraz przesyłania danych). Właśnie otwarte, niezabezpieczone porty wykorzystywane są przez konie trojańskie i ich autorów do włamywania się i instalacji tych aplikacji na komputerach użytkowników.