TL; DR 是的，但不太可能。可以肯定的是，要么拔下 PC，要么确保它无法连接到任何东西。

一些操作系统 - 特别是 Windows 10 - 可以使用适当的驱动程序和相关的复杂硬件管理设置“自动唤醒”。

结果，如果（这是一个很大的假设！）恶意软件程序获得了足够的访问权限以让操作系统执行其竞标，它有一种方法可以简单地要求系统本身代表它执行此操作。

在某些系统上（恶意软件必须能够识别和计划），这也适用于“真正的断电”：附加电路将在板载实时时钟的预选时间打开计算机。在某些桌面 BIOS 中，软件可访问性较低（“自动通电：[] 从不；[] 断电后；[] 每天在给定时间：：”或类似的，在 BIOS 设置中）。

然后，系统会在一段时间后自动启动，例如在您可能睡着的时候。

所以：

• 有 RTC powerup 硬件支持，或更多（集成管理系统，常见于企业计算机）
  • 恶意软件必须已经控制了系统，因为 RTC 功能通常需要管理员/根级别的访问权限。
• RTC powerup 硬件支持不存在或未使用：
  • 如果恶意软件已经控制了系统，它可以用简单的进入睡眠来代替关机程序，然后设置一些东西以在以后退出睡眠模式。

但是这些选项中的任何一个都发生了吗？可能不是。大多数恶意软件依赖于在不知不觉中运行并且能够在一段时间内不被检测到的情况下运行。“关机模拟”仅在非常特定的情况下有用（并且硬件选项仅在相对较少的系统上可用），我认为恶意软件编写者不必担心它们。他们通常选择第三种也是最简单的选择：

• 一些常见的自动开机或登录序列（自动执行、启动脚本、计划任务、运行服务等）被颠覆，因此额外的代码，即恶意软件，可以静默运行。

对于一个“有针对性的”恶意软件，设计时考虑到某些特定的受害者并针对特定目标的能力进行定制，而不是普通受感染机器上可用的子集，上述所有条件都不会发挥作用。

正如其他人所提到的，这在大多数 PC 硬件上是很有可能的，尽管目前不太可能（因为绝大多数恶意软件都不会打扰）。

别人说的不可能，然而是错误的。软件实际上可以通过“关机”或“关机”命令（GNU/Linux）或单击“开始”按钮然后“关机”（MS Windows）或通过手动按下来唤醒定期关机的计算机电源按钮。

该功能称为RTC 唤醒，它允许软件在一天中的特定时间安排唤醒。它由实时时钟芯片（在您的计算机关闭时跟踪时间并使用自己的 CR2032 电池运行的芯片）控制。

如果您运行 GNU/Linux 系统，则该功能的控制由rtcwake(8)系统命令提供。

作为一项相关功能，许多计算机还具有名为Wake on LAN的功能，它允许其他计算机和路由器通过有线以太网为您的计算机供电（请注意，此功能必须在您的计算机上启用，并且是否默认为开启取决于您的 BIOS）。

编辑：是的，它可以做到。正如 Majita Nalis 的出色回答所观察到的，现代系统具有内置功能，可让您从软件设置启动“警报”。

一个可能也是现实的场景是恶意软件在另一台设备上获得持久性。假设您的路由器具有默认凭据或漏洞，恶意软件可能已经传播。如果你的机器启用了网络唤醒，那么有人可以打开你的机器。

但是在检查了 WoL 和 RTC 唤醒之后，你仍然不是完全安全的。大多数恶意软件将在 ring 3 中运行，如果你在 ring 0 作为内核模块或系统驱动程序真的不走运。当系统实际关闭时，它们都不会运行，如果没有设置时钟，它们基本上无法再对机器进行控制。

然而，在 ring 0 以下有执行模式，例如 SMM 和其他固件，它们执行电源管理。然而，滥用此功能的恶意软件极为罕见，我能说出的唯一例子是 NSA 代号 DEITYBOUNCE 类恶意软件和可能由 Fancy Bear 传播的 LoJax。

有关如何发生这种情况，请参阅 Forests 的优秀答案。

https://security.stackexchange.com/a/180107/121894

您是否有关于恶意软件的信息，例如哈希或姓氏？这将允许更详细的答案。

WOL 数据包具有特定的结构；并不是说它可以在互联网上发送或在 Intranet 上路由以到达目标。当营养电缆断开或连接但关闭时，计算机会断电。RTC 唤醒很好，但我想它只能在睡眠模式下使用。在我个人看来，一些 SMM 固件功能，如果没有正确配置并且默认禁用其中一些功能，可能会对远程管理造成潜在危险。最好的选择是拔掉网线或禁用无线网卡，直到您不确定您的电脑是否已被病毒感染。