Итак, пользователь, получив троянского коня, запускает его на выполнение. Троянский конь начинает действовать как инсталлятор. Из своего тела он извлекает исполняемый файл и записывает его в одну из папок жесткого диска атакуемого компьютера. Этот файл должен автоматически запускаться каждый раз, когда будет включаться компьютер и загружаться операционная система. Так как подавляющее большинство пользователей использует \Yinclows различных версий, начиная с \Yindows 95, то создатель троянского коня может заранее приготовить механизм автоматического запуска. Одним из вариантов является помещение ярлыка вредоносного файла в папку автозапуска. Однако подобный вариант тривиален: пользователь может заглянуть в папку автозагрузки и удалить неизвестный ярлык. Поэтому чаще всего используется запись команды на выполнение в реестр операционной системы.
Но мало суметь автоматически запустить приложение, нужно сделать так, чтобы пользователь его не заметил. Для того чтобы приложение не было видно на экране, достаточно сделать ему невидимое окно. В любом случае наименование обычного приложения все равно будет показываться в списке активных задач, который вызывается нажатием комбинации клавиш <Ctrl>+<Alt>+<Del>. В операционных системах Windows 9х-2000 данное ограничение обходится легко. Достаточно приложению присвоить статус хранителя экрана (screensaver), и в списке задач его уже нет. В Windows NT все немного сложнее, но Windows NT меньше распространена. Как видно, требования к троянскому коню просты и незамысловаты, поэтому написать его можно практически на любом языке высокого уровня.