Sistem cara kerja Tojan Horse

   Suatu Trojan umumnya terdiri atas dua program. Program pertama adalah Program Server. Program ini umumya dipasangkan di system remote alias di computer yang menjadi target Trojan.
   Program kedua adalah Program Client. Biasanya dilengkapi dengan suatu user interface. Sehingga mempermudah pemakai untuk “mengolah” suatu computer yang dijadikan server. Pengolahan ini berbagai macam bentuknya, dari mulai membalik layer,melakukan shutdown, sampai mencuri password. Semuanya bergantung pada “fitur” apa saja yang dipasangkan pada program server.
   Pada beberapa program Trojan yang komplit, biasanya akan ditambahkan dengan program ketiga atau lebih dikenal dengan Program Editor. Biasanya program ini berguna untuk mengubah setting dari Trojan yang dipasangkan.
   Pada saat kita menjalankan suatu program server Trojan pada system computer yang kita pakai, program akan mengopikan dirinya sendiri ke suatu lokasi rahasia pada hard disk kita. Dengan tujuan, tentu saja, agar file server sulit untuk ditemukan.
   Juga umumnya Trojan akan mengubah suatu file atau registry Windows, sehingga Trojan akan dapat melakukan pengaktifan dirinya sendiri via fasilitas autostart pada saat Windows diaktifkan. Misalnya Trojan akan mengubah file *.INI atau syaraf registri yang menangani masalah autorun.
   Setelah aktif, server Trojan akan membuka suatu jalur koneksi (atau nomor port logika tertentu) via port TCP atau UDP dan menunggu sampai sang penyusup (pengiriman Trojan) memasukinya dengan bantuan Client Trojan.
   Jika seorang penyusup sudah terkoneksi ke port khusus tersebut (dengan memakai Client Trojan), Server Trojan akan melakukan perintah yang diberikan oleh penyusup. Tentu saja perintah ini bervariasi bergantung pada Trojan apa yang dipakainya.
Itulah tipikal cara kerja klasik suatu program Trojan. Jadi sang Client Trojan akan menghubungi Server Trojan.
   Kelemahan program Trojan klasik ini adalah tidak dapat menembus atau mengendalikan computer yang ada di belakang proxy. Komputer proxy adalah computer server yang berhubungan langsung dengan internet. (Biasanya dipegang oleh penjaga warnet). Komputer ini akan mempunyai dua jenis IP address. Satu IP address public yang dipakai secara luas untuk mengakses internet, dan satu IP address private untuk akses ke jaringan local.
   Sedangkan komputer-komputer lainnya (yang biasanya dipakai oleh pelanggan) untuk dapat mengakses internet, maka Trojan harus melewati computer proxy tersebut via IP address private jaringan local di warnet tersebut (karena computer yang kita pakai memang didesain tidak mempunyai IP public untuk akses langsung ke internet).
   Jadi saat kita mengakses internet sebetulnya yang mengakses adalah computer proxy tersebut bukan computer yang sedang kita pakai. Komputer proxy dengan IP address publicnya akan mengambilkan data-data dari internet yang kita butuhkan dari internet dan mengembalikannya pada computer kita yang memakai IP address private lagi.
   Oleh karena itu, jika suatu Trojan mengakses dari internet, maka hanya computer proxy tersebut sajalah yang diserang. Karena computer proxy adalah satu-satunya computer dalam jaringan tersebut yang mempunyai IP address public. Dengan kata lain, biarpun kita telah menginfeksi computer local dengan program Server Trojan tetap saja tidak akan dapat kita akses via internet karena computer tersebut tidak mempunyai IP public. Itulah salah satu kelemahan atau keterbatasan dari program Trojan model klasik.
   Namun, pada perkembangannya ada Trojan yang bekerja dengan membalik logika akses. Artinya, bukan Client Trojan yang menghubungi Server Trojan, tapi Server Trojan lah yang menghubungi Client. Dengan cara ini, computer yang ada di balik computer proxy pun pada akhirnya dapat dikendalikan.
   Cara kerja Trojan model LAN ini, adalah membuat suatu program Server Trojan yang dapat memaksa computer local untuk mengambil (download) data file teks yang telah disiapkan oleh sang penyusup, yang berisi alamat (IP Address) dari suatu web tertentu. Lalu berdasarkan alamat tersebut, Server Trojan yang ada pada computer local yang telah kita pakai, akan melakukan koneksi secara otomatis ke Client Trojan. Hal ini akan membuat proxy tidak berdaya, karena mengira kita sebagai pemakai memang menginginkan akses internet tersebut. Maka jadilah computer proxy sebagai calo yang menghubungkan computer local dengan computer Client Trojan.