O host tem controle total sobre o convidado. Portanto, se houver malware sendo executado no host, o convidado também será comprometido.
Na prática, a maioria dos malwares apenas tenta infectar softwares comuns, como o próprio SO, navegadores, media players, etc. As máquinas virtuais são um caso tão raro que os autores de malware normalmente não se incomodam, especialmente considerando que a diversidade de sistemas que podem estar sendo executados dentro da VM significa muito trabalho para o autor do malware.
No entanto, isso pode mudar à medida que as máquinas virtuais se tornam mais comuns. Por exemplo, copiar e colar faria um vetor de infecção relativamente simples (você acha que está copiando algum texto inocente na VM, mas o malware faz com que você realmente cole um comando que abre as portas; também considere isso espionando o host , o malware tem acesso a qualquer coisa que você copie e cole mesmo de dentro da VM para dentro da VM). E se você é vítima de um ataque direcionado em vez de algum malware comum, todas as apostas estão desativadas.
Se você tiver um link de rede entre o host e o convidado, o malware pode tentar se propagar dessa maneira, como acontece com qualquer outra máquina em sua rede local.