Bueno ese jamás depende del bicho que meta en la maquina virtual, recientemente encontraron vulnerabilidades incrustadas en unos pocos troyanos que podian facilitar la infeccion de la maquina en la que estaba corriendo la maquina virtual con el gusano/troyano
El último escape que tuvo VMWARE fue el año pasado y debido al gestor de impresión (lo cual es muy raro pues no está por default cuando creas una VM). Más allá de que esté pacheado hace rato, siempre puedes quitar el gestor de printing.
Desconozco lo que aqueja a VirtualBox pues no lo uso, pero hace tiempo que no veo una vulnerabilidad de escape de la misma (hace tiempo = al menos 1 año).
El esfuerzo que llevaría escapar a una VM, es tan grande que calculo que el 99% de los virus/troyanos/etc. no lo harán nunca. Es más, la mayoría trata de detectar la VM para no ser analizado...
Saludos!