特洛伊木马是一个有用的或者表面上看起来有用的程序，但其内部藏有恶意代码，当被调用时，会执行非预期的或有害的功能。特洛伊木马伪装成合法软件以监视或访问用户系统，从而窃取、删除、阻止或修改数据，以及中断设备或网络性能。存在多种特洛伊木马，包括允许网络犯罪分子完全远程控制受感染设备的后门特洛伊木马，可将设备纳入僵尸网络再用于发起拒绝服务攻击的特洛伊木马，以及允许使用设备来发起垃圾电子邮件攻击的电子邮件特洛伊木马等。

特洛伊木马能够用于间接地完成攻击者无法直接完成的功能。例如，要访问存储在用户文件中的、敏感的个人信息，攻击者可以创建一个木马程序，当它被执行时，它会扫描用户的文件来获得想要的敏感信息，然后通过Web表单或电子邮件或文本消息发送给攻击者。然后，攻击者把木马程序合并到某个游戏或实用程序中，发布到某个知名的软件发布网站或应用商店上，引诱用户下载并运行它。许多声称是最新的防病毒扫描器或系统安全更新程序，实际上却是携带有搜索银行凭证的间谍软件等载荷的木马程序。因此，用户需要采取预防措施来验证所安装的软件的来源。

特洛伊木马一般属于下面三种模型中的一种：

（1）继续执行原程序的功能，附带地执行另外的恶意行为。(www.daowen.com)

（2）继续执行原程序的功能，但是会对其进行修改，以执行恶意行为（如登录程序木马收集用户的口令）或隐瞒其他恶意活动（如进程列表程序木马不显示某些恶意的进程）。

（3）用恶意功能完全替代原程序的功能。

一些木马利用某些软件漏洞来避开用户的协助，实现自动安装和执行。这类木马使用了蠕虫的某些特性，但是又不像蠕虫，因为它们并不自我复制。此类攻击的一个著名例子，是2009年和2010年年初极光行动（Operation Aurora）中的Hydraq木马。它利用IE浏览器中的一个漏洞来安装自己，并以数个高知名度的公司作为其攻击目标。