вот ещё +5 пришли.... 
а что там копать то хоть, я просто даже не представляю.
открываете файл core_captcha.php блокнотом.
в файле все настройки с комментами на русском. Очень легко разобраться
произвольно меняете циферки и смотрите что получилось.
$count=5;
/* количество символов */
$width=120;
/* ширина картинки */
$height=35;
/* высота картинки */
$font_size_min=19;
/* минимальная высота символа */
$font_size_max=29;
/* максимальная высота символа */
$font_file="../images/Comic_Sans_MS.ttf"; /* путь к файлу относительно w3captcha.php */
$char_angle_min=-20;
/* максимальный наклон символа влево */
$char_angle_max=20;
/* максимальный наклон символа вправо */
$char_angle_shadow=5;
/* размер тени */
$char_align=25;
/* выравнивание символа по-вертикали */
$start=3;
/* позиция первого символа по-горизонтали */
$interval=20;
/* интервал между началами символов */
$chars="0123456789abcdefgiwspvmxnozqrtyulj";
/* набор символов */
$noise=6;
/* уровень шума */
$colors = array("90","110","130","150","170","190","210"); Месяц назад такое же было на тестовом сайте, который закрыт был в робот.txt Об этом сайте не знал даже гугл. А спам бот вот узнал ((
Капча стояла на четыре символа. Увеличил капчу до 8 символов и добавил дополнительных символов в "набор символов".
После этого спам перестал приходить.
Мало того, я сам далеко не с первого раза стал вводить капчу ))
Глупый попался спамбот.
Если попадается умный спамбот, то он взломает любую капчу. Тут уже нужны будут каверзные вопросы для верификации типа: "напишите что видите на картинке" или "имя первого космонавта"
