在特洛伊木马程序进行攻击之前，它必须先找到某种方法引诱受害人复制、下载和运行它。由于很少有人明明知道是恶意程序还去运行，所以特洛伊木马必须把自己伪装成受害人认为是无害的其他程序(比如游戏、实用程序或流行软件)。

除把自己伪装成无害的程序之外，特洛伊木马还能乔装打扮，把自己隐藏在一个合法的程序中，如Adobe Photoshop或Microsoft Excel。恶意的黑客为此编写了专门的包装程序或绑定程序，如Saran Wrap、Silk Rope、The Joiner，可以把任何特洛伊木马打包在另一个程序中，因此减少了被人发现的可能性。由于大多数用户不会怀疑来自知名大公司的程序会包含特洛伊木马，受害人很可能去运行包含木马的程序。

黑客在编写特洛伊木马程序后，下一步便是传播，例如把它复制到受害人的机器上，把它贴到站点上供人下载，作为电子邮件的附件发送，通过IRC和在线的聊天室发送，或通过ICQ和其他即时的消息传递服务进行传播。

6.1.1 把特洛伊木马物理地复制到计算机

如果某人能从物理上访问您的计算机，他只要简单地把特洛伊木马程序复制到您的计算机硬盘上就可以了。如果攻击者技艺高超，他还能创建一个定制的木马，模仿只有该计算机才有的程序的样子，比如公司的登录屏幕或公司的数据库程序。这样的木马程序不仅更能骗过受害人，还能针对特定的计算机执行某个动作，例如盗取公司的信用卡号码清单，或复制游戏软件公司尚未发布的游戏的源代码，并把它们贴到网上。

6.1.2 从站点下载软件

特洛伊木马经常现身于提供免费软件(如共享软件)的站点。Web上的这些社区聚会场所给木马编写者提供了一定程度的隐身，以及随机攻击尽可能多的受害人的机会。由于站点的操作人员很少有时间全面地检查用户所贴的每一个文件，偶尔就会有特洛伊木马从检查程序的眼皮底下溜走，不被发觉。

当然，站点管理员一旦发现特洛伊木马的踪迹，就会删掉，以防止别人下载。但是，从特洛伊木马贴到站点上到管理员把它删掉这段时间中，很多人可能已经下载了木马，并辗转传播给了别人。所以，即使能轻而易举地删掉特洛伊木马，但要找到和删除这个木马的所有副本绝非易事，会十分耗时，甚至不可能办到。

有些黑客不是把特洛伊木马往别人的站点上贴，而是自己创建一个站点，假装提供黑客工具或色情文件，引诱用户下载。自然，有些文件是木马程序，所以自粗枝大叶的用户下载并运行程序的那一刻起，木马程序就已自由自在地按编写者的授意进行破坏了。

6.1.3 从电子邮件附件接收特洛伊木马

特洛伊木马另一个常见的传播方式是把程序文件作为电子邮件消息的附件发送。这个附件会利用种种伪装来引诱您打开它。它也许乔装成来自一个合法组织(比如Microsoft或America Online)的消息；也许扮为一个很有诱惑力的程序，像能让您非法访问某台知名计算机的黑客工具；也许伪装成竞赛通告、色情文件，或其他挑起您好奇心的类似消息。

6.1.4 从聊天室或即时消息传递服务发布特洛伊木马

很多黑客把特洛伊木马发送给访问在线聊天室的人，因为这样没有电子邮件地址也能达到传播的目的。黑客一般会先和物色好的受害人套近乎，主动找他们聊天，然后提出给他发送一个黑客程序或色情文件。当受害人接受了文件并把文件打开时，特洛伊木马便发起了攻击。

黑客还喜欢把特洛伊木马发送给使用即时消息传递服务(如ICQ或AOL Instant Messenger)的人。和电子邮件一样，即时消息传递服务也允许攻击者把特洛伊木马直接发送给个人，攻击者所依据的是此人的即时消息传递ID，而这个ID能从成员目录中轻易地获得。