Trojanische Pferde können in Form beliebiger Programme über Datenträger auf den Computer gelangen oder durch E-Mail und im Internet, z. B. in Tauschbörsen, verbreitet werden.

Trojanische Pferde funktionieren nur, wenn sie gestartet werden. Da bei Microsoft-Windows-Betriebssystemen die Endung des Dateinamens bestimmt, ob und wie eine Datei ausgeführt wird, müssen die Trojaner auch eine entsprechende Dateiendung verwenden (.exe, .com, .scr, .bat, .cmd, .vbs, .wfs, .jse, .shs, .shb, .lnk oder .pif).

In der Standardkonfiguration werden diese Endungen im Windows-Explorer nicht angezeigt. Ausführbare Dateien können daher auf unterschiedliche Weise getarnt werden:

•Die Datei wird mit einer vorgetäuschten Dateierweiterung benannt, auf welche die korrekte Erweiterung folgt (z.B. Bild.jpg.exe).

•Die Dateiendung wird mit Hilfe zahlreicher Leerzeichen kaschiert. So erscheint z.B. eine Datei namens harmlos.txt <viele Leerzeichen> Checked By Norton Antivirus.exe auf den ersten Blick wie eine Textdatei, weil der restliche Dateiname oft nur als Hinweis interpretiert wird.

Dateien mit ausführbarem Code können außerdem unter einer harmlosen Dateiendung versteckt werden: Eine Word-Datei namens "bösartig.doc" wird z.B. in "gutartig.rtf" umbenannt.

Es ist zwar eigentlich nicht möglich, in einer RTF-Datei ausführbaren Makrocode zu hinterlegen. Die Datei wird aber beim Öffnen von MS-Office anhand des Dateiinhalts als .doc-Datei erkannt, und der darin hinterlegte Makrocode wird trotz der Dateiendung .rtf ausgeführt.